TAL:Rari Capital遭受重入攻击，损失超8000万美元

安全实验室监测到以太坊上feiprotocol和RariCapital协议中的多个池子遭到重入攻击，导致损失超8000万美元。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

众所周知，compound项目的代码本就存在一些安全问题，而feiprotocol和RariCapital协议延用了compound的代码库，同时在doTransferOut()方法的实现中使用了存在重入的写法，导致了事件的发生。

Tribe DAO再次启动社区投票以赔偿Rari Capital黑客受害者:金色财经报道，Tribe DAO（由 Rari Capital 和 Fei Protocol 合作实体）已经证实将再次启动社区投票以赔偿 Rari Capital 黑客受害者。新提案是 DAO 宣布解散后的一项举措，其他措施包括将 FEI 赎回 DAI，按比例向 TRIBE 代币持有者提供 DAO 资产的份额，以及取消 Tribe 的所有治理权。根据链上投票平台 Tally 的数据显示，99% 的选票支持全额赔付。 如果通过，该提案将向受 Fuse Hack 黑客影响的人支付与黑客窃取的全部金额相对应的款项。据此前相关报道，2022 年 4 月，Rari Capital（一种 DeFi 借贷协议）上的几个流动资金池被盗了 8000 万美元。（Tally）[2022/9/20 7:07:22]

因此次事件中的多次攻击方式相同，本文仅对一次攻击进行分析。

虎符创新区将于1月10日20:00新增LooksRare (LOOKS):据官方消息，虎符创新区将于2022年1月10日20:00（UTC+8）新增LooksRare (LOOKS)，同步开启LOOKS/USDT交易及充提业务。LooksRare 是社区第一的 NFT 市场，积极奖励参与的交易者、收藏家和创作者。[2022/1/10 8:38:58]

攻击者地址：0x6162759edad730152f0df8115c698a42e666157f

DeFi智能投顾Rari Capital协议已产生超165000美元费用:Rari Capital联合创始人jack Lipstone发推表示，DeFi智能投顾Rari Capital协议已产生超165000美元费用。[2021/1/26 13:33:04]

攻击合约：0x32075bad9050d4767018084f0cb87b3182d36c45

tx：0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6

CEtherDelegator合约：0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C

其次，合约在对用户进行借贷放款时，并未实行检查-生效-交互的模式，更新抵押资产价值在放款之后，使得攻击者能够在借款之后进行函数回调；

最为关键的一点是，攻击者在借款后调用了exitMarket()函数退出借款的市场，之后对抵押品进行赎回，由于此时攻击者已退出市场，因而协议不会计算这笔借款，所以能够成功赎回抵押品。

ETH，随后触发重入；

3、调用exitMarket()函数退出借款的市场，并取出抵押品；

4、归还闪电贷；

5、成功赖账套利，免费借出ETH；

6、最后，攻击者重复攻击手法对协议中的池子进行攻击，成功套利约8000万美元。

总结

本次攻击事件核心是协议引用了存在重入漏洞的compound代码库，导致合约发生重入攻击。

建议项目方在编写项目时，应始终使用检查-生效-交互的模式，并在合约中应用重入锁，在发送以太币时一定要限制gas或者使用thransfer()，一定不要使用存在安全问题的项目代码。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼，另外，近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：TALAPIPITARINFTALLBI价格Fortem Capitalpitbull币潜力怎么样ARIA20

KuCoin热门资讯