以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

Rari Capital遭受重入攻擊,損失超8000萬美元_NFT:RARI

Author:

Time:1900/1/1 0:00:00

安全實驗室監測到以太坊上feiprotocol和RariCapital協議中的多個池子遭到重入攻擊,導致損失超8000萬美元。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

眾所周知,compound項目的代碼本就存在一些安全問題,而feiprotocol和RariCapital協議延用了compound的代碼庫,同時在doTransferOut()方法的實現中使用了存在重入的寫法,導致了事件的發生。

NFT市場LooksRare聚合器第一階段已上線:金色財經報道,NFT 市場 LooksRare 聚合器第一階段現已上線,用戶可以將 NFT 添加到購物車,從 LooksRare 與 OpenSea 批量購買,并從 OpenSea 查看交易活動而無需離開網站。此后,用戶可以使用 LooksRare V2 協議進行批量購買。未來,LooksRare 聚合器將支持更多 NFT 市場的購買與批量購買,并支持查看其他 NFT 市場活動,支持其他市場的全球實時地板價與特征數據。目前,LooksRare 聚合器智能合約已經過 Peckshield 正式安全審計與 Code4rena 審計競賽。[2023/3/23 13:20:30]

因此次事件中的多次攻擊方式相同,本文僅對一次攻擊進行分析。

NFT市場SuperRare將裁員30%:1月7日消息,NFT市場SuperRare首席執行官John Crain宣布,SuperRare將裁員30%,并表示最近幾個月NFT市場激進增長正變得不可持續,由于此前過度招聘,因此他個人將“對這個錯誤負全部責任”。

不過,John Crain強調Web3、NFT、加密藝術、去中心化金融和治理方面還有很多創新和轉型尚未到來,盡管現在正面臨逆風,但加密市場仍有難以置信的機會。(TechCrunch)[2023/1/7 10:59:48]

攻擊者地址:0x6162759edad730152f0df8115c698a42e666157f

Rari Capital發起購買RGT存儲在金庫并部署到Rari Stable Pool的提案投票:DeFi智能投顧Rari Capital發推稱,Rari金庫目前擁有超過5.3萬美元,很快它就會變成智能金庫(Smart Treasury)。RIP-6提案從Uniswap慢慢購買價值2萬美元的RGT,將RGT積累并儲存在Treasury中。剩余的資金應該投入到Rari Stable Pool中,以賺取收益。一旦RIP-5生效,智能金庫將負責維護。這項提議的前提是保留RGT,并為即將進行的審計節省必要的資金。目前針對該提案的投票已經開啟。[2021/1/3 16:19:19]

攻擊合約:0x32075bad9050d4767018084f0cb87b3182d36c45

tx:0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6

CEtherDelegator合約:0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C

其次,合約在對用戶進行借貸放款時,并未實行檢查-生效-交互的模式,更新抵押資產價值在放款之后,使得攻擊者能夠在借款之后進行函數回調;

最為關鍵的一點是,攻擊者在借款后調用了exitMarket()函數退出借款的市場,之后對抵押品進行贖回,由于此時攻擊者已退出市場,因而協議不會計算這筆借款,所以能夠成功贖回抵押品。

ETH,隨后觸發重入;

3、調用exitMarket()函數退出借款的市場,并取出抵押品;

4、歸還閃電貸;

5、成功賴賬套利,免費借出ETH;

6、最后,攻擊者重復攻擊手法對協議中的池子進行攻擊,成功套利約8000萬美元。

總結

本次攻擊事件核心是協議引用了存在重入漏洞的compound代碼庫,導致合約發生重入攻擊。

建議項目方在編寫項目時,應始終使用檢查-生效-交互的模式,并在合約中應用重入鎖,在發送以太幣時一定要限制gas或者使用thransfer(),一定不要使用存在安全問題的項目代碼。

在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。

Tags:RARENFTARERARITerareumNFT幣Galaxy ArenaFerrariSwap

pepe最新價格
從贊助商到粉絲通證,Crypto成為體育產業的「頭號玩家」_CRYP:CRY

當前,Crypto市場似乎進入了一個下行期,體育產業對Crypto領域的采用有所變緩,但最近仍有不少相關新聞。上周舉辦的邁阿密一級方程式大獎賽展開了一系列與Crypto領域相關的活動.

1900/1/1 0:00:00
星球日報 | 美SEC批準Valkyrie XBTO比特幣期貨基金ETF;Amber Group以100億美元估值進行新一輪融資(5月6日)_OIN:PengolinCoin

美SEC批準ValkyrieXBTO比特幣期貨基金ETF美國證券交易委員會批準ValkyrieXBTO比特幣期貨基金ETF知情人士:AmberGroup正以100億美元估值進行新一輪融資據知情人.

1900/1/1 0:00:00
雪梨交易所:CMEBTC期貨開盤跳空低開形成1610美元缺口_SEI:ORK

5月9日6:00CMEBTC期貨開盤,15分鐘周期跳空低開報34455美元,上一交易日最高報36065美元,形成一個1610美元缺口,缺口范圍:36065-34455美元.

1900/1/1 0:00:00
盤中寶——LUNA暴跌,加密市場恐慌性拋售_UNA:LUNU幣

目前加密市場進入UST、BTC、以及LUNA的下跌螺旋,市場恐慌情緒嚴重,上方拋壓嚴重,目前比特幣已經進入超賣區間,資金雖出現一定抄底跡象,但大盤尚未真見底.

1900/1/1 0:00:00
上遍大所的Project Galaxy目標是要成為Web3的淘寶?_GALA:gala幣是哪個國家的

作者:ColinWu Web3數據憑證平臺ProjectGalaxy的治理TokenGAL于昨晚8點上線Binance、Coinbase、FTX等幾乎所有頭部大交易所.

1900/1/1 0:00:00
Instagram負責人:在Instagram上發布或共享NFT,用戶無需支付相關任何費用_INS:GRAM

5月11日消息,據Instagram負責人AdamMosseri近期在社交媒體上披露,用戶無需支付“與在Instagram上發布或共享NFT相關的任何費用”.

1900/1/1 0:00:00
ads