베이징 시간으로 2022년 4월 30일, Fei Protocol은 Rari Fuse 풀의 취약점을 조사 중이라고 발표했습니다. 현재 이 프로젝트는 추가 손실을 줄이기 위해 모든 대출을 중단했으며 해커가 훔친 사용자 자금에 대한 대가로 공격자에게 미화 1,000만 달러를 공개적으로 제공했으며 이후에는 질문하지 않겠다고 약속했습니다.

지금까지 보고된 총 손실액은 약 7,935만 달러이며, 공격자들은 여전히 ​​22,672.97 ETH(약 6,425만 달러)를 지갑에 보유하고 있지만 5,400 ETH(약 1,530만 달러)를 Tornado Cash로 보냈습니다. 이 공격으로 인해 Rari 코인 풀의 자금이 소진되었으며 Fei 코인 풀(Tribe, Curve)은 아직 영향을 받지 않았습니다.

Rari 팀원은 Discord 프로젝트에서 이에 대해 다음과 같이 응답했습니다.",게다가",게다가"퓨즈 풀의 PCV가 위험할 수 있음"。

Rari 팀원은 이후 상황이 개선되었지만 대출 전용 자산이 취약하다는 사실도 확인했습니다.

예비 보고서에 따르면 이 취약점은 스마트 감사에서 가장 흔한 오류인 재진입(re-entrancy)과 2016년 악명 높은 The DAO 해킹 및 최근 몇 년 동안 발생한 여러 해커와 같은 많은 취약점의 주범으로 인해 발생했을 가능성이 높습니다.

○ 2020년 4월 Uniswap/Lendf.Me는 재진입 취약점을 이용한 해커의 공격을 받았고 도난당한 자산은 500만 달러였다.

○ 2021년 5월 BurgerSwap은 허위 계약 및 재진입 취약점으로 인해 해커에 의해 악의적으로 사용되었으며 도난당한 자산은 720만 달러였습니다.

○ 2021년 8월 SURGEBNB가 도난당했는데, 해커들이 재진입 기반의 가격조작을 통해 공격을 진행한 것으로 추정되며, 이번 사건에서 도난당한 자산은 400만 달러였다.

○ 2021년 8월 CREAM FINANCE의 재진입 취약점으로 인해 해커들이 2차 대출을 할 수 있게 되었으며, 도난당한 자산은 1,880만 달러였습니다.

○ 2021년 9월 Siren 프로토콜이 공격을 받아 350만 달러의 자산이 도난당했습니다. AMM 풀이 재진입 공격을 받았습니다.

CertiK는 이번 주 매체에서 재진입 공격에 대한 기사를 게시했습니다: https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001

마지막에 쓰기

마지막에 쓰기

이에 비추어 볼 때 거의 8천만 달러에 달하는 도난 자산으로 인해 Fei Protocol은 사상 최대의 재진입 공격 피해자가 되었습니다.

2022년 4월 1일, Rari Capital은 Fuse 풀과 관련된 보안 문제를 패치했다는 보안 업데이트 보고서를 Medium에 게시했습니다.

이 패치는 함수에 필요한 재진입을 방지하여 Compound의 알려진 취약점을 수정합니다. 이 접근 방식은 많은 시스템 기능을 보호하지만 exitMarket()에는 작동하지 않습니다. 전역 재진입 잠금이 활성화된 상태에서도 악의적인 공격자가 ETH를 받으면 exitMarket()을 호출할 수 있습니다.

Fei Protocol은 또한 이번 달 초에 버그가 발생하기 전에 버그를 멈출 수 있었지만 그렇게 잘 되지 않는 몇 가지 문제가 있었습니다. 프로그램.

현재 Fei Protocol 팀은 조사 결과를 공식적으로 발표하지 않았습니다.