2022年4月30日,成都链安链必应-区块链安全态势感知平台舆情监测显示,FeiProtocol官方的RariFusePool遭受黑客攻击,黑客获利约28380ETH,约8034万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。
#1事件相关信息
由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例
攻击交易
Fei Labs:不支持通过FEIPCV来偿还Fuse平台的用户损失:6月16日消息,算法稳定币协议 Fei Protocol 的开发公司 Fei Labs 发文称,不支持通过稳定币 FEI 的协议控制价值(PCV)来偿还 Fuse 平台的用户损失,但 Fei Labs 仍将协助执法部门调查黑客事件以及追回资金的相关工作。Fei Labs 表示,Fuse 独立于 Fei Protocol 构建、维护和运行,但 Fei Labs 鼓励和支持与社区在替代解决方案上的合作。[2022/6/16 4:30:50]
0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530
高盛前CEO Blankfein:美国经济衰退风险“非常非常高”:5月16日消息,高盛前CEO、高级主席Lloyd Blankfein敦促企业和消费者为美国经济衰退做好准备,称这是一个“非常、非常高的风险”。Blankfein在接受哥伦比亚广播公司采访时表示:“如果我经营的是一家大公司,我会做好充分的准备。如果我是消费者,我也会做好准备。”Blankfein还补充称,虽然美联储有非常强大的工具,但“很难迅速看到这些工具改变经济状况的效果”,认为他们的反应很好。(金十)[2022/5/16 3:18:44]
攻击者地址
数据:FEI稳定币达到1美元的目标价格:CoinGecko数据显示,FEI稳定币在推出一个月后终于达到了1美元的目标价格。目前市场上有10亿美元的FEI。[2021/5/5 21:24:10]
0x6162759edad730152f0df8115c698a42e666157f
攻击合约
0x32075bad9050d4767018084f0cb87b3182d36c45
被攻击合约
0x26267e41CeCa7C8E0f143554Af707336f27Fa051
#2?攻击流程
1.攻击者先从Balancer:Vault中进行闪电贷。
2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。
攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。
3.归还闪电贷,将攻击所得发送到0xe39f合约中
3?漏洞分析
本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞
4?资金追踪
截止发文时,被盗资金超过28380?ETH,用成都链安“链必追”追踪发现攻击者正在通过TornadoCash进行转移,大部分仍在攻击者地址。
5?总结
针对本次事件,成都链安安全团队建议:
进行以太坊转账时,谨慎使用call.value。使用时要确保重入不会发生。项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。