宇宙链 宇宙链
Ctrl+D收藏宇宙链

死神来了之重入攻击,Fei Protocol漏洞导致7935万美元被盗事件分析

作者:

时间:1900/1/1 0:00:00

北京时间2022年2022年4月30日,FeiProtocol宣布他们正在调查RariFuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失,并公开向攻击者提供1000万美元用以交换黑客所盗的用户资金,并保证不事后进行追问。

目前报告的总损失约为7935万美元,攻击者已经向TornadoCash发送了5400个ETH,不过他们的钱包里仍持有22,672.97个ETH。这次攻击已经耗尽了Rari币池的资金,Fei币池暂未受到影响。

0x927b开头地址将313万枚YGG(价值约116万美元)转入币安:金色财经报道,据推特用户Bit余烬监测,15分钟前,0x927b024a75a4f286f63cc38db3fc0d6f2c45feb0多签地址将313万美元YGG (116万美元)转入币安。0x927b开头地址在今天上午从YGG解锁合约领取了263万解锁的 YGG。

5 分钟前, 0xe7d512a0aed53662f4df92bf1ca8b0a85e851cf3 多签地址也将解锁领取的 348万枚YGG (128万美元)转入币安(与0x927b 地址转入同一币安存款地址,应是同一机构所属)。也就是该机构刚才一共转入币安662万枚YGG(245万美元)。[2023/2/19 12:15:38]

一位Rari团队成员在项目Discord中回应了此事,并表示"Fuse中的一些借贷人可能受到影响",以及"Fuse池中的PCV可能会有风险"。该Rari团队成员还证实,仅可借贷的资产易受攻击,不过目前该情况已得到改善。

OpenSea CEO:NFT赛道相比整体加密领域更为健康,未来NFT也可以美元计价:12月29日消息,OpenSea首席执行官Devin Finzer在接受《金融时报》采访时表示,虽然加密行业近期遇到了一些挫折(指 FTX 崩盘事件),但相信 NFT 仍会有光明的未来,NFT不一定会一直像今天这样以加密货币计价进行买卖,虽然以加密货币计价在当前生态中有很多意义,但随着 NFT 更容易获得,用例更加广泛,不能以美元来计价是一件没有道理的事。

对于行业现状,Devin Finzer表示预计加密市场将进入长期低迷,但OpenSea是在一条健康的赛道上。监管机构和官员了解 NFT 与更广泛的加密行业之间的区别,例如加密领域非常关注金融用例,这一点非常重要。

提到NFT的价值,Devin Finzer表示 NFT 的价值应该取决于人们如何参与其中,无论是通过使用NFT参加独家活动、玩游戏,还是在家中展示数字艺术品,未来每个人都会有越来越多的数字化财产。[2022/12/29 22:15:14]

初步报告显示这个漏洞很可能是因为重入问题导致的,这是智能审计中最常见的错误,也是诸多漏洞产生的罪魁祸首——例如2016年臭名昭著的TheDAO黑客事件和近年来受害的几个主要协议↓

CME将于8月29日推出欧元定价的比特币及以太坊期货:金色财经报道,芝商所(CME)计划进一步扩大其加密货币衍生品产品,将于8月29日推出欧元定价的比特币及以太坊期货,等待监管审查。

为了匹配以美元计价的对手,比特币欧元和以太坊欧元期货合约的规模将是每份合约5个比特币和50个以太坊。这些新合约将根据CME CF比特币-欧元参考利率和CME CF以太坊-欧元参考利率以现金结算,它们作为比特币和以太坊以欧元计价的每日一次参考利率,这些新的期货合约将在芝商所上市并受其规则约束。[2022/8/4 12:02:29]

○2020年4月Uniswap/Lendf.Me被黑客利用重入漏洞进行攻击,受盗资产500万美元,

○?2021年5月BurgerSwap因虚假合约及一个重入性的漏洞被黑客恶意利用,受盗资产720万美元。

○?2021年8月SURGEBNB受盗,黑客似乎是利用了基于重入的价格操纵来进行攻击,本次事件受盗资产400万美元。

○?2021年8月CREAMFINANCE的重入性漏洞可让黑客进行二次借贷,受盗资产1880万美元。

○?2021年9月Siren协议遭受攻击,受盗资产350万美元——其AMM池被重入式攻击。

CertiK本周在medium上发布了一篇关于重入式攻击的文章:https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001该文近期将于CertiK官方公众号发布中文版,请小伙伴们持续关注!

写在最后

如此看来,将近8000万美元的受盗资产令FeiProtocol成为有史以来规模最大的重入式攻击受害者。2022年4月1日,RariCapital在Medium上发布了一份安全升级报告,称他们已经修补了一个与Fusepools有关的安全问题。

这个补丁可阻止函数所需的重入,以此修复了Compound的已知漏洞。尽管这一手段可保护许多系统功能,但并未能对exitMarket()生效。即使全局重入锁处于激活状态,当恶意攻击者收到ETH时,他们就可调用exitMarket()。

FeiProtocol在本月初也曾遇到一些问题,当时他们本可以在漏洞发生之前阻止但情况并非如此尽如人意:他们通过漏洞赏金计划发现了一个bug,导致他们在修复漏洞的同时关闭了rebateprogram。

截至目前,FeiProtocol团队还没有正式宣布他们的调查结果。

标签:NFT比特币以太坊YGGNFTSwaps比特币价格今日行情走势图以太坊币多少钱一个ygg币未来价值

币安app官方下载最新版热门资讯
2022年NFT收藏者向市场发送370亿美元,几乎与2021全年持平

今年(截至5月1日),非同质化代币(NFT)的收藏者已经向NFT市场发送了超过370亿美元的价值,这一数字几乎超过了2021年全年的总额.

1900/1/1 0:00:00
a16z、YGG、Axie 圆桌对话:Web 3 游戏接下来该怎么走?

以下是关于游戏中NFT话题的谈话记录,对话者包括SkyMavis/AxieInfinity联合创始人兼首席运营官AleksanderLarsen、YieldGuildGames联合创始人兼首席执行官GabbyDizon.

1900/1/1 0:00:00
观点:Crypto 在崩溃与融合中步入新生

AC认为:Crypto走得是早年货币政策的老路,在重蹈覆辙,在重新犯下货币政策以前曾犯过的错.屠龙者可能在慢慢变成恶龙.一波又一波的Crypto浪潮将它迭代成了另一个模样.

1900/1/1 0:00:00
以四个教科书级的空投为例,浅谈如何「养号」拿空投?

“空投暴富”的故事一直是业内最津津乐道的话题之一,而刷空投的“刷子”与项目方一直斗智斗勇。5月6日,跨链桥HopProtocol正式推出原生代币HOP,其中8%将空投给早期相关用户,同时表示报告20个以上关联女巫攻击者地址的用户,将有.

1900/1/1 0:00:00
8V.com通过CertiK渗透测试,有效保护用户资产与信息安全

知名元宇宙生态数字资产交易平台8V.com近期与区块链安全公司CertiK合作,委托其安全团队对平台Web和移动端应用进行安全代码审计,提升区块链安全防护等级,为项目平稳运营保驾护航.

1900/1/1 0:00:00
GameFi 在宏观趋势上出现下滑,但个别项目却大放异彩

Apr.2022,VincyDataSource:FootprintAnalytics-April2022ReportDashboard4月,GameFi游戏项目数从1,406个增长到1,479个,月度增长5.2%.

1900/1/1 0:00:00