Merkezi olmayan finans (DeFi) platformu Fei Protocol, çeşitli Rari Fuse havuzlarından çalınan fonların büyük bir kısmını müzakere etmek ve almak için bilgisayar korsanlarına 79.348.385,61 $ – yaklaşık 80 milyon $ değerinde 10 milyon $ ödül teklif etti.
Cumartesi günü Fei Protocol, yatırımcılarını çok sayıda Rari Capital Fuse havuzundaki bir istismar hakkında bilgilendirirken, bilgisayar korsanlarından çalınan fonları 10 milyon dolarlık bir ödül ve “soru sorulmadan” bir taahhüt karşılığında iade etmelerini istedi.
Çeşitli Rari Fuse havuzlarında bir istismar olduğunun farkındayız. Kök nedenini belirledik ve daha fazla hasarı azaltmak için tüm borçlanmayı duraklattık.
İstismarcıya, lütfen 10 milyon dolarlık bir ödülü kabul edin ve kalan kullanıcı fonlarını iade ederseniz, soru sorulmadan.
— Fei Protokolü (@feiprotocol) 30 Nisan 2022
İstismardan kaynaklanan kesin kayıplar resmi olarak açıklanmasa da, DeFi müfettişi BlockSec’in izleme sistemi 80 milyon dolardan fazla bir kayıp tespit etti – temel nedeni tipik bir yeniden giriş güvenlik açığı olarak gösterdi. Yeniden giriş hataları, DeFi ekosistemindeki birçok istismarın ana suçlusu olsa da, 80 milyon dolarlık ganimet, Fei Protokolünü şimdiye kadarki en büyük yeniden giriş hacklerinden biri haline getiriyor.
Daha fazla araştırma üzerine, Rari geliştiricisi Jack Longarzo, dahili bir düzeltme devam ederken geçici olarak duraklatılan toplam altı savunmasız havuz (8, 18, 27, 127, 144, 146, 156) ortaya çıkardı. Yazma sırasında, Rari’nin dahili ve harici güvenlik mühendisleri, hack’i daha fazla araştırmak ve etkisiz hale getirmek için DeFi servis sağlayıcısı Compound Hazine ile ortaklık kurdu.
Geliştirme hakkında daha fazla bilgi sağlayan blok zinciri araştırmacısı PeckShield, istismarı bir yeniden giriş hatasına indirgedi ve bu da bilgisayar korsanlarının bir işlevi kullanmasına ve başka bir güvenilmeyen sözleşmeye harici aramalar yapmasına izin verdi.
Eski yeniden giriş hatası, 80 milyon dolarlık kayıpla Bileşik çatallarda tekrar ısırıyor! Bu sefer çıkışMarket() üzerinden tekrar giriyor!!! https://t.co/NpC8AAZRXc
Dikkat, EVM uyumlu zincirlerdeki tüm Bileşik çatallar. Denetçilerinizle şimdi iletişime geçin veya herhangi bir yardımımız olursa bizimle iletişime geçmekten çekinmeyin. pic.twitter.com/M9JElTWMSd
— PeckShield Inc. (@peckshield) 30 Nisan 2022
Güvenlik odaklı sıralama platformu CertiK, Cointelegraph’a, saldırganın yazı yazarken Tornado Cash’e 5400 Ether (ETH) veya 15.298.900 dolar gönderdiğini ve hala cüzdanlarında 22.672.97 ETH veya 64.245.245.43 dolar tuttuğunu söyledi. Saldırı, Rari havuzundan para çekerken Fei Havuzları (Kabile, Eğri) etkilenmedi.
Geçen yıl 8 Mayıs 2021’de Rari Capital, daha önce Alpha Finance Lab olan Alpha Venture DAO ile entegrasyonla ilgili yüksek fiyatlı bir istismarın kurbanı oldu. Yazının yazıldığı sırada, Fei Protokol ekibinden araştırmalarının sonuçları hakkında resmi bir açıklama yapılmadı.
İlişkili: 600 milyon dolarlık Ronin hackinin ardından 1 milyon dolarlık hata ödülleri planlayın ve düğümleri ikiye katlayın
Kripto topluluğu, bilgisayar korsanlarına karşı sürekli gelişen bir savaştan geçerken, çok sayıda proje ve protokol, güvenlik önlemlerini artırmaya karar verdi. Th’de, Ronin Network ve Sky Mavis, önceki ay 600 milyon dolarlık hack’in ardından akıllı sözleşmelerini yükseltme planlarını açıkladılar.
23 Mart’ta meydana gelen Ronin istismarıyla ilgili bir otopsi hazırladık.
• Neden oldu
• Bunun bir daha asla olmayacağından emin olmak için ne yapıyoruz?
• Ronin köprüsü yeniden açılış güncellemesihttps://t.co/FfwCtCG84E— Ronin (@Ronin_Network) 27 Nisan 2022
Amerika Birleşik Devletleri Federal Soruşturma Bürosu (FBI), diğer kripto ve blok zinciri kuruluşlarına bir uyarı göndererek saldırıyı Kuzey Kore merkezli ve devlet destekli bilgisayar korsanlığı grubu Lazurus’a bağladı.
