FEI:Fei Protocol被攻击事件分析：“重入漏洞”如何破

作者：

时间：1900/1/1 0:00:00

2022年4月30日，成都链安链必应-区块链安全态势感知平台舆情监测显示，FeiProtocol官方的RariFusePool遭受黑客攻击，黑客获利约28380ETH，约8034万美元，成都链安技术团队第一时间对事件进行了分析，结果如下。

#1事件相关信息

由于漏洞出现在项目基本协议中，攻击者不止攻击了一个合约，以下仅分析一例

Frax Finance创始人：Fei Protocol有能力向受害者偿还所有资金:8月20日消息，Frax Finance创始人Sam Kazemian推特发文称，Fei Protocol有足够的PCV按照锚定价格赎回每一个稳定币，偿还所有资金给受害者，并且仍然有6500万美元供TRIBE持有者获利。但他们只计划向受害者偿还少部分的损失，以牺牲早期支持者为代价为自己保留更多资金，这是赤裸裸的欺诈。据此前消息，Fei Labs发起关闭Tribe DAO并将资金分配给代币持有者和黑客攻击受害者的提案，该提案建议将DAO资金首先用于偿还黑客攻击中受害者损失，再由TRIBE代币持有者进行分配，之后移除所有治理权利。[2022/8/21 12:37:46]

攻击交易

安全公司：Fei Protocol重大漏洞，可能造成6400-8000万美金的损失:4月30日，据CertiK技术团队消息，2022年4月30日，Fei Protocol宣布他们正在调查Rari Fuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失并公开向攻击者提供1000万美元以归还用户的资金，并保证不事后进行追问。

目前，攻击者已经向Tornado Cash发送了5400个ETH（约15,298,900美元），不过他们的钱包里仍持有64,245,245.43美元。

这次攻击已经耗尽了Rari币池的资金，而Fei币池（Tribe，Curve）仍然没有受到影响。一位Rari团队成员一直在回答问题，并表示 \"Fuse中的一些借贷人可能受到影响\"，以及 \"Fuse池中的PCV可能有风险\"。该Rari团队成员还证实，只有可借贷的资产是易受攻击的，不过目前已好转。

Fei Protocol在本月初曾遇到一些问题：他们通过漏洞赏金计划发现了一个bug，导致他们在修复漏洞的同时关闭了rebate program。当时他们本能够在漏洞发生之前阻止，不过情况并非如此尽如人意。

截至目前，Fei Protocol团队还没有正式宣布他们的调查结果。[2022/4/30 2:42:28]

0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530

Fei Labs为其稳定币项目筹集了约12.7亿美元:据官方消息，Fei稳定币背后的公司Fei Labs共筹集了639,000 ETH，按当前价格计算约为12.7亿美元。超过17,000个地址参与了Fei 稳定币的“ Genesis”事件。[2021/4/5 19:45:45]

攻击者地址

0x6162759edad730152f0df8115c698a42e666157f

攻击合约

0x32075bad9050d4767018084f0cb87b3182d36c45

被攻击合约

0x26267e41CeCa7C8E0f143554Af707336f27Fa051

LBank 蓝贝壳4月4日03:55上线FEI、TRIBE:据官方公告，4月4日03:55 LBank 蓝贝壳上线 FEI(Fei Protocol)、TRIBE，开放 USDT 交易。资料显示：FEI(Fei Protocol) 支持创建基于以太坊的去中心化、可扩展且公平的稳定币。FEI 稳定币的供应没有上限，可以跟踪需求，沿着结合曲线通过销售进入流通。 TRIBE 是该协议的治理代币。[2021/4/4 19:44:20]

#2?攻击流程

1.攻击者先从Balancer:Vault中进行闪电贷。