木星链 木星链
Ctrl+D收藏木星链
首页 > XLM > 正文

FEI:Fei Protocol被攻击事件分析:“重入漏洞”如何破

作者:

时间:1900/1/1 0:00:00

2022年4月30日,成都链安链必应-区块链安全态势感知平台舆情监测显示,FeiProtocol官方的RariFusePool遭受黑客攻击,黑客获利约28380ETH,约8034万美元,成都链安技术团队第一时间对事件进行了分析,结果如下。

#1事件相关信息

由于漏洞出现在项目基本协议中,攻击者不止攻击了一个合约,以下仅分析一例

Frax Finance创始人:Fei Protocol有能力向受害者偿还所有资金:8月20日消息,Frax Finance创始人Sam Kazemian推特发文称,Fei Protocol有足够的PCV按照锚定价格赎回每一个稳定币,偿还所有资金给受害者,并且仍然有6500万美元供TRIBE持有者获利。但他们只计划向受害者偿还少部分的损失,以牺牲早期支持者为代价为自己保留更多资金,这是赤裸裸的欺诈。据此前消息,Fei Labs发起关闭Tribe DAO并将资金分配给代币持有者和黑客攻击受害者的提案,该提案建议将DAO资金首先用于偿还黑客攻击中受害者损失,再由TRIBE代币持有者进行分配,之后移除所有治理权利。[2022/8/21 12:37:46]

攻击交易

安全公司:Fei Protocol重大漏洞,可能造成6400-8000万美金的损失:4月30日,据CertiK技术团队消息,2022年4月30日,Fei Protocol宣布他们正在调查Rari Fuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失并公开向攻击者提供1000万美元以归还用户的资金,并保证不事后进行追问。

目前,攻击者已经向Tornado Cash发送了5400个ETH(约15,298,900美元),不过他们的钱包里仍持有64,245,245.43美元。

这次攻击已经耗尽了Rari币池的资金,而Fei币池(Tribe,Curve)仍然没有受到影响。一位Rari团队成员一直在回答问题,并表示 \"Fuse中的一些借贷人可能受到影响\",以及 \"Fuse池中的PCV可能有风险\"。该Rari团队成员还证实,只有可借贷的资产是易受攻击的,不过目前已好转。

Fei Protocol在本月初曾遇到一些问题:他们通过漏洞赏金计划发现了一个bug,导致他们在修复漏洞的同时关闭了rebate program。当时他们本能够在漏洞发生之前阻止,不过情况并非如此尽如人意。

截至目前,Fei Protocol团队还没有正式宣布他们的调查结果。[2022/4/30 2:42:28]

0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530

Fei Labs为其稳定币项目筹集了约12.7亿美元:据官方消息,Fei稳定币背后的公司Fei Labs共筹集了639,000 ETH,按当前价格计算约为12.7亿美元。超过17,000个地址参与了Fei 稳定币的“ Genesis”事件。[2021/4/5 19:45:45]

攻击者地址

0x6162759edad730152f0df8115c698a42e666157f

攻击合约

0x32075bad9050d4767018084f0cb87b3182d36c45

被攻击合约

0x26267e41CeCa7C8E0f143554Af707336f27Fa051

LBank 蓝贝壳4月4日03:55上线FEI、TRIBE:据官方公告,4月4日03:55 LBank 蓝贝壳上线 FEI(Fei Protocol)、TRIBE,开放 USDT 交易。资料显示:FEI(Fei Protocol) 支持创建基于以太坊的去中心化、可扩展且公平的稳定币。FEI 稳定币的供应没有上限,可以跟踪需求,沿着结合曲线通过销售进入流通。 TRIBE 是该协议的治理代币。[2021/4/4 19:44:20]

#2?攻击流程

1.攻击者先从Balancer:Vault中进行闪电贷。

2.将闪电贷的资金用于RariCapital中进行抵押借贷,由于RariCapital的cEther实现合约存在重入。

攻击者通过攻击合约中构造的攻击函数回调,提取出受协议影响的池子中所有的代币。

3.归还闪电贷,将攻击所得发送到0xe39f合约中

3?漏洞分析

本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞

4?资金追踪

截止发文时,被盗资金超过28380?ETH,用成都链安“链必追”追踪发现攻击者正在通过TornadoCash进行转移,大部分仍在攻击者地址。

5?总结

针对本次事件,成都链安安全团队建议:

进行以太坊转账时,谨慎使用call.value。使用时要确保重入不会发生。项目上线前,建议选择专业的安全审计公司进行全面的安全审计,规避安全风险。

标签:FEIPROTOCCOLFEI价格ProximaXSafeSpace ProtocolFOB Protocol

XLM热门资讯
VEX:金色观察|Convex:DApp的全局状态管理工具

4月27日,A16Z宣布,Convex获得由AndreessenHorowitz领投的2600万美元A轮融资.

1900/1/1 0:00:00
NFT:疯狂“出圈”和刷屏之后 Web3.0热潮下的NFT安全如何保证?

最近一段时间,Web3.0不断“刷屏”,NFT疯狂“出圈”,有人撸空投,有人搞收藏,有人说,NFT的爆炸性增长正在推动Web3.0的发展.

1900/1/1 0:00:00
DAO:如何像国家一样 在DAO内进行经济建设?

这篇文章是基于我在Crypto,Culture,&Society的演讲而写成的。Crypto,Culture,&Society是一个学习型的DAO,它正致力于为加密货币领域建立起.

1900/1/1 0:00:00
BAY:BAYC 的成功演变:其背后的品牌价值剖析

非同质化代币(NFT)?持续在主流媒体中破圈,其中最著名的当属Punk、BAYC这种元老级别的蓝筹项目.

1900/1/1 0:00:00
DAO:10 个正在被 DAO 颠覆的行业及相关案例

革命往往由突然增加法律、机械或通信等领域的流动性/减少摩擦的创新来催化。对于DAO来说,它们的创新在于资源的流动性,例如资本、注意力和数据,尤其是人才的流动.

1900/1/1 0:00:00
加密货币:印度财政部长:印度正在探索中央银行数字货币的商业用途

金色财经报道,印度财政部长NirmalaSitharaman本周在旧金山举行的“投资印度数字革命”商业圆桌会议上谈到了该国的中央银行数字货币(CBDC),即数字卢比.

1900/1/1 0:00:00