北京時間の 2022 年 4 月 30 日、Fei Protocol は、Rari Fuse プールの脆弱性を調査していると発表しました。現在、プロジェクトはさらなる損失を減らすためにすべての融資を停止し、ハッカーが盗んだユーザー資金と引き換えに攻撃者に公的に1,000万米ドルを提供し、その後は質問しないことを約束した。

これまでに報告された損失総額は約7,935万ドルで、攻撃者は5,400 ETH（約1,530万ドル）をTornado Cashに送金しましたが、ウォレットにはまだ22,672.97 ETH（約6,425万ドル）が残っています。この攻撃により、Rari コイン プールの資金が枯渇しましたが、Fei コイン プール (Tribe、Curve) はまだ影響を受けていません。

これに対し、Rari チームのメンバーはプロジェクト Discord で次のように反応しました。"、同様に"、同様に"ヒューズプール内の PCV は危険にさらされる可能性がある"。

ラリのチームメンバーは、その後状況は改善したが、貸付専用資産が脆弱であることも認めた。

暫定レポートによると、この脆弱性は、スマート監査で最も一般的なエラーであり、2016 年の悪名高い DAO ハッキングや近年の複数のハッカーなど、多くの脆弱性の原因である再入によって引き起こされる可能性が高いことが示されています。

○2020年4月、Uniswap/Lendf.Meがリエントランシーの脆弱性を利用したハッカーの攻撃を受け、500万米ドルの資産が盗まれた。

○2021年5月、BurgerSwapは虚偽の契約とリエントラントの脆弱性によりハッカーに悪用され、720万米ドルの資産が盗まれた。

○2021年8月にSURGEBNBが盗まれる事件が発生、ハッカーらによるリエントリーによる価格操作とみられる攻撃で、盗まれた資産は400万ドルに上る。

○2021年8月、CREAM FINANCEのリエントランシーの脆弱性によりハッカーによる二次融資が可能となり、盗まれた資産は1,880万米ドルに上った。

○ 2021 年 9 月、Siren プロトコルが攻撃され、350 万ドルの資産が盗まれました。その AMM プールは再突入によって攻撃されました。

CertiK は今週、Medium に対する再入攻撃に関する記事を公開しました: https://certik.medium.com/what-is-a-reentrancy-攻撃-6516fefc001

最後に書きます

最後に書きます

これを考慮すると、8,000 万ドル近くの資産が盗まれ、Fei Protocol は史上最大のリエン​​トラント攻撃の被害者となりました。

2022 年 4 月 1 日、Rari Capital は、Fuse プールに関連するセキュリティ問題にパッチを適用したことを示すセキュリティ更新レポートを Medium に公開しました。

このパッチは、関数に必要な再入を防止することにより、Compound の既知の脆弱性を修正します。このアプローチは多くのシステム関数を保護しますが、exitMarket() では機能しません。グローバル リエントランシー ロックがアクティブであっても、悪意のある攻撃者が ETH を受け取ると、exitMarket() を呼び出す可能性があります。

Fei Protocol も今月初めにいくつかの問題を抱えていました。バグが発生する前に阻止できたかもしれませんが、うまくいきませんでした。バグ報奨金プログラムを通じてバグが見つかり、バグを修正している間にリベートを終了することになりました。プログラム。

現時点では、Fei Protocol チームは調査結果を正式に発表していません。