RARI:Rari Capital遭受重入攻擊，損失超8000萬美元

安全實驗室監測到以太坊上feiprotocol和RariCapital協議中的多個池子遭到重入攻擊，導致損失超8000萬美元。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

眾所周知，compound項目的代碼本就存在一些安全問題，而feiprotocol和RariCapital協議延用了compound的代碼庫，同時在doTransferOut()方法的實現中使用了存在重入的寫法，導致了事件的發生。

NFT市場LooksRare推出漏洞賞金計劃，賞金最高達100萬美元:1月26日消息，NFT市場LooksRare在Web3漏洞賞金平臺Immunefi上推出漏洞賞金計劃，專注于其智能合約、網站和應用程序，旨在防止用戶的NFT和資金損失。該計劃將根據漏洞等級支付賞金，賞金最高可達100萬美元。[2022/1/26 9:14:25]

因此次事件中的多次攻擊方式相同，本文僅對一次攻擊進行分析。

聚幣Jubi將于6月24日18:00上線RARI:據官方消息，聚幣Jubi將于6月24日18:00（UTC+8）上線RARI，開啟RARI/USDT交易。在聚幣存入RARI限時可享質押算力獎勵。

RARI是基于NFT的數字收藏和交易平臺Rarible推出的治理代幣，用戶可以通過Rarible鑄幣，購買和出售數字收藏品，而不需要任何編碼技能。[2021/6/24 0:02:38]

攻擊者地址：0x6162759edad730152f0df8115c698a42e666157f

BiKi平臺RARE連續3日上漲 累計漲幅137.56%:據BiKi行情數據顯示，截止今日19:15（ GMT+8），平臺內幣種RARE連續3日上漲，累計漲幅137.56%，現價0.3744USDT。行情波動較大，請注意風險控制。[2021/1/28 14:15:03]

攻擊合約：0x32075bad9050d4767018084f0cb87b3182d36c45

tx：0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6

CEtherDelegator合約：0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C

其次，合約在對用戶進行借貸放款時，并未實行檢查-生效-交互的模式，更新抵押資產價值在放款之后，使得攻擊者能夠在借款之后進行函數回調；

最為關鍵的一點是，攻擊者在借款后調用了exitMarket()函數退出借款的市場，之后對抵押品進行贖回，由于此時攻擊者已退出市場，因而協議不會計算這筆借款，所以能夠成功贖回抵押品。

ETH，隨后觸發重入；

3、調用exitMarket()函數退出借款的市場，并取出抵押品；

4、歸還閃電貸；

5、成功賴賬套利，免費借出ETH；

6、最后，攻擊者重復攻擊手法對協議中的池子進行攻擊，成功套利約8000萬美元。

總結

本次攻擊事件核心是協議引用了存在重入漏洞的compound代碼庫，導致合約發生重入攻擊。

建議項目方在編寫項目時，應始終使用檢查-生效-交互的模式，并在合約中應用重入鎖，在發送以太幣時一定要限制gas或者使用thransfer()，一定不要使用存在安全問題的項目代碼。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：RARIARINFTARERARI價格INARINFTLHare Chain

歐易okex官網