安全實驗室監測到以太坊上feiprotocol和RariCapital協議中的多個池子遭到重入攻擊,導致損失超8000萬美元。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。
基礎信息
眾所周知,compound項目的代碼本就存在一些安全問題,而feiprotocol和RariCapital協議延用了compound的代碼庫,同時在doTransferOut()方法的實現中使用了存在重入的寫法,導致了事件的發生。
NFT市場LooksRare推出漏洞賞金計劃,賞金最高達100萬美元:1月26日消息,NFT市場LooksRare在Web3漏洞賞金平臺Immunefi上推出漏洞賞金計劃,專注于其智能合約、網站和應用程序,旨在防止用戶的NFT和資金損失。該計劃將根據漏洞等級支付賞金,賞金最高可達100萬美元。[2022/1/26 9:14:25]
因此次事件中的多次攻擊方式相同,本文僅對一次攻擊進行分析。
聚幣Jubi將于6月24日18:00上線RARI:據官方消息,聚幣Jubi將于6月24日18:00(UTC+8)上線RARI,開啟RARI/USDT交易。在聚幣存入RARI限時可享質押算力獎勵。
RARI是基于NFT的數字收藏和交易平臺Rarible推出的治理代幣,用戶可以通過Rarible鑄幣,購買和出售數字收藏品,而不需要任何編碼技能。[2021/6/24 0:02:38]
攻擊者地址:0x6162759edad730152f0df8115c698a42e666157f
BiKi平臺RARE連續3日上漲 累計漲幅137.56%:據BiKi行情數據顯示,截止今日19:15( GMT+8),平臺內幣種RARE連續3日上漲,累計漲幅137.56%,現價0.3744USDT。行情波動較大,請注意風險控制。[2021/1/28 14:15:03]
攻擊合約:0x32075bad9050d4767018084f0cb87b3182d36c45
tx:0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6
CEtherDelegator合約:0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C
其次,合約在對用戶進行借貸放款時,并未實行檢查-生效-交互的模式,更新抵押資產價值在放款之后,使得攻擊者能夠在借款之后進行函數回調;
最為關鍵的一點是,攻擊者在借款后調用了exitMarket()函數退出借款的市場,之后對抵押品進行贖回,由于此時攻擊者已退出市場,因而協議不會計算這筆借款,所以能夠成功贖回抵押品。
ETH,隨后觸發重入;
3、調用exitMarket()函數退出借款的市場,并取出抵押品;
4、歸還閃電貸;
5、成功賴賬套利,免費借出ETH;
6、最后,攻擊者重復攻擊手法對協議中的池子進行攻擊,成功套利約8000萬美元。
總結
本次攻擊事件核心是協議引用了存在重入漏洞的compound代碼庫,導致合約發生重入攻擊。
建議項目方在編寫項目時,應始終使用檢查-生效-交互的模式,并在合約中應用重入鎖,在發送以太幣時一定要限制gas或者使用thransfer(),一定不要使用存在安全問題的項目代碼。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
周彥靈:5.10比特幣暴跌3萬關口面臨抉擇今日大盤最新走勢預測分析及解套昨日給的空單預測均已完美到達所給目標點位,進場點位也是抓的最高位置,再次拿捏.
1900/1/1 0:00:00尊敬的CloudExchange用戶:CloudExchange招募志愿社群活動詳情如下:{申請模板}團體名稱:**賬號:**聯系郵箱:**云鏈錢包地址:**{報名條件}1.
1900/1/1 0:00:00原文標題:《以太坊合并的PlanA和PlanB》原文作者:BenEdgington,ConsenSys開發者 原文編譯:隔夜的粥 本周你絕對應該閱讀一下這個.
1900/1/1 0:00:00親愛的ZT用戶: ZT創新板即將上線LUNR,並開啟LUNR/USDT交易對。具體上線時間如下:充值:已開啟;交易:2022年5月11日18:00; LUNR 項目簡介:Lunr是一個功能型代幣.
1900/1/1 0:00:00美股三大指數全線下跌納指跌超4%熱門中概股普遍走低可以看出鮑威爾排除75個基點的加息惹“眾怒”,現在多位美聯儲官員出來“滅火”美聯儲巴爾金表示,不排除支持加息75個基點的可能性.
1900/1/1 0:00:00加密市場恐慌情緒加重,資金出逃跡象明顯,目前BTC伴隨MA5下移,市場恐慌情緒嚴重,上方形成較大拋壓,后市具備一定反彈預期,但整體趨于下跌.
1900/1/1 0:00:00