PRO:死神來了之重入攻擊，Fei Protocol漏洞導致7935萬美元被盜事件分析

北京時間2022年2022年4月30日，FeiProtocol宣布他們正在調查RariFuse池上的一個漏洞。目前該項目已經暫停了所有借款以減少進一步的損失，并公開向攻擊者提供1000萬美元用以交換黑客所盜的用戶資金，并保證不事后進行追問。目前報告的總損失約為7935萬美元，攻擊者已經向TornadoCash發送了5400個ETH，不過他們的錢包里仍持有22,672.97個ETH。這次攻擊已經耗盡了Rari幣池的資金，Fei幣池暫未受到影響。一位Rari團隊成員在項目Discord中回應了此事，并表示"Fuse中的一些借貸人可能受到影響"，以及"Fuse池中的PCV可能會有風險"。該Rari團隊成員還證實，僅可借貸的資產易受攻擊，不過目前該情況已得到改善。初步報告顯示這個漏洞很可能是因為重入問題導致的，這是智能審計中最常見的錯誤，也是諸多漏洞產生的罪魁禍首——例如2016年臭名昭著的TheDAO黑客事件和近年來受害的幾個主要協議↓○2020年4月Uniswap/Lendf.Me被黑客利用重入漏洞進行攻擊，受盜資產500萬美元，○2021年5月BurgerSwap因虛假合約及一個重入性的漏洞被黑客惡意利用，受盜資產720萬美元。○2021年8月SURGEBNB受盜，黑客似乎是利用了基于重入的價格操縱來進行攻擊，本次事件受盜資產400萬美元。○2021年8月CREAMFINANCE的重入性漏洞可讓黑客進行二次借貸，受盜資產1880萬美元。○2021年9月Siren協議遭受攻擊，受盜資產350萬美元——其AMM池被重入式攻擊。CertiK本周在medium上發布了一篇關于重入式攻擊的文章：https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001該文近期將于CertiK官方公眾號發布中文版，請小伙伴們持續關注！寫在最后

Maverick Protocol CTO：加密市場不得不考慮美國財政部補充TGA的舉措:金色財經報道，DeFi基礎設施平臺Maverick Protocol的CTO BobBaxley表示，加密貨幣市場現在不得不考慮美國財政部補充其一般賬戶（TGA）的舉措，該賬戶在最近幾個月已經縮水。這可能會削弱原本可用于數字資產投資的流動性。大約萬億美元回流到一般賬戶可能會吸走市場上的大量流動性。類似的事情發生在2019年，市場承受的壓力基本上迫使美聯儲介入并增加緊急流動性以防止危機全面爆發。因此，達成協議并不意味著我們已經走出困境。注：TGA賬戶全稱,TheTreasury General Account,簡單可以理解為美國財政部在美國中央銀行的存款賬戶。[2023/6/2 11:54:05]

如此看來，將近8000萬美元的受盜資產令FeiProtocol成為有史以來規模最大的重入式攻擊受害者。2022年4月1日，RariCapital在Medium上發布了一份安全升級報告，稱他們已經修補了一個與Fusepools有關的安全問題。這個補丁可阻止函數所需的重入，以此修復了Compound的已知漏洞。盡管這一手段可保護許多系統功能，但并未能對exitMarket()生效。即使全局重入鎖處于激活狀態，當惡意攻擊者收到ETH時，他們就可調用exitMarket()。FeiProtocol在本月初也曾遇到一些問題，當時他們本可以在漏洞發生之前阻止但情況并非如此盡如人意：他們通過漏洞賞金計劃發現了一個bug，導致他們在修復漏洞的同時關閉了rebateprogram。截至目前，FeiProtocol團隊還沒有正式宣布他們的調查結果。

批評人士：歐洲加密貨幣法案MiCA在生效之前就已經過時了:金色財經報道，周四，歐洲立法者批準了《加密資產市場監管》法律（MiCA)，該法律將成為歐盟提供首個管理加密行業的規則。MiCA已經的制定歷經了三年，作為美國通過執法行動監管該行業的替代方案，受到了加密行業高管的歡迎。然而，批評人士表示，這項法律在生效之前就已經過時了，因為它幾乎錯過了加密貨幣寒冬，而且已經有人呼吁更新。一旦實施，MiCA將要求任何在歐盟提供加密相關服務的公司在歐盟成員國之一獲得注冊，然后允許他們在整個歐盟開展業務。歐洲銀行業管理局（EBA）和歐洲證券及市場管理局將負責確保加密平臺遵守這些規則，包括擁有足夠的風險管理和治理流程，以避免再次發生類似的加密交易所破產。[2023/4/20 14:16:42]

泰國暹羅商業銀行終止收購加密資產公司Bitkub 51%的股份:8月25日消息，泰國暹羅商業銀行（SCBX）宣布將終止收購加密資產公司Bitkub 51%的股份，自2022年8月25日起生效。首席執行官Arthid Nanthawithaya表示，盡職調查后沒有發現任何無法補救的重大異常問題，Bitkub目前正在按照泰國證券交易委員會的建議和命令解決各種問題，解決這些問題的時間框架不確定。

渣打銀行在一份聲明中表示，由于他們向Bitkub管理層提出了許多問題，2021年11月2日宣布的收購Bitkub的交易不得不取消。渣打銀行于今年7月宣布，由于正在進行盡職調查，將“無限期推遲”計劃中的收購。

此前2021年11月2日消息，加密貨幣交易所Bitkub周二宣布，泰國暹羅商業銀行以178.5億泰銖（約合5.37億美元）收購其51%的股份，交易預計將在2022年第一季度完成，尚待監管部門批準。（thaienquirer）[2022/8/25 12:47:37]

Tags：PROTOCKUBROTXPRO價格Meblox ProtocolKUBO價格Viper Protocol

幣贏交易所