La plate-forme de financement décentralisé (DeFi) Fei Protocol a offert une prime de 10 millions de dollars aux pirates informatiques dans le but de négocier et de récupérer une grande partie des fonds volés de divers pools Rari Fuse d’une valeur de 79 348 385,61 dollars, soit près de 80 millions de dollars.
Samedi, Fei Protocol a informé ses investisseurs d’un exploit dans de nombreux pools Rari Capital Fuse tout en demandant aux pirates de restituer les fonds volés contre une prime de 10 millions de dollars et un engagement « sans poser de questions ».
Nous sommes au courant d’un exploit sur divers pools Rari Fuse. Nous avons identifié la cause profonde et suspendu tous les emprunts pour atténuer les dommages supplémentaires.
À l’exploiteur, veuillez accepter une prime de 10 millions de dollars et aucune question posée si vous restituez les fonds d’utilisateur restants.
— Protocole Fei (@feiprotocol) 30 avril 2022
Bien que les pertes exactes de l’exploit n’aient pas été officiellement publiées, le système de surveillance de l’enquêteur DeFi BlockSec détecté une perte de plus de 80 millions de dollars – citant la cause première comme une vulnérabilité de réentrance typique. Alors que les bogues de réentrance ont été le principal coupable de nombreux exploits au sein de l’écosystème DeFi, le butin de 80 millions de dollars fait du protocole Fei l’un des plus grands hacks de réentrance de tous les temps.
Après des enquêtes plus approfondies, le développeur de Rari, Jack Longarzo, a révélé un total de six pools vulnérables (8, 18, 27, 127, 144, 146, 156) qui ont été temporairement suspendus pendant qu’un correctif interne est en cours. Au moment de la rédaction de cet article, les ingénieurs de sécurité internes et externes de Rari se sont associés au fournisseur de services DeFi Compound Treasury pour enquêter plus avant et neutraliser le piratage.
Fournissant de plus amples informations sur le développement, l’enquêteur de la blockchain PeckShield a réduit l’exploit à un bogue de réentrance, qui permet aux pirates d’utiliser une fonction et d’effectuer des appels externes vers un autre contrat non fiable.
L’ancien bug de réentrance mord à nouveau sur les fourches composées avec une perte de 80 millions de dollars ! Cette fois, il rentre via exitMarket() !!! https://t.co/NpC8AAZRXc
Attention, toutes les fourches Compound des chaînes conformes EVM. Contactez dès maintenant vos auditeurs ou n’hésitez pas à nous contacter si nous pouvons vous être utiles pic.twitter.com/M9JElTWMSd
– PeckShield Inc. (@peckshield) 30 avril 2022
La plate-forme de classement axée sur la sécurité CertiK a déclaré à Cointelegraph que l’attaquant avait envoyé 5400 Ether (ETH), soit 15 298 900 $ au moment de la rédaction, à Tornado Cash et détient toujours 22 672,97 ETH, soit 64 245 245,43 $ au moment de la rédaction, dans leur portefeuille. L’attaque a drainé des fonds du pool Rari tandis que les pools Fei (Tribu, Courbe) ne sont pas affectés.
L’année dernière, le 8 mai 2021, Rari Capital a été victime d’un exploit coûteux lié à l’intégration avec Alpha Venture DAO, anciennement Alpha Finance Lab. Au moment d’écrire ces lignes, il n’y a eu aucune annonce officielle de l’équipe du protocole Fei sur les résultats de leur enquête.
Lié: Prévoyez des primes de bugs de 1 million de dollars et doublez les nœuds à la suite du piratage de Ronin de 600 millions de dollars
Alors que la communauté crypto traverse une bataille en constante évolution contre les pirates, de nombreux projets et protocoles ont décidé de renforcer leurs mesures de sécurité. Sur Th, le réseau Ronin et Sky Mavis ont révélé leur intention de mettre à niveau leurs contrats intelligents – après le piratage de 600 millions de dollars le mois précédent.
Nous avons préparé un post-mortem concernant l’exploit de Ronin qui s’est produit le 23 mars.
• Pourquoi c’est arrivé
• Ce que nous faisons pour nous assurer que cela ne se reproduise plus
• Mise à jour sur la réouverture du pont Roninhttps://t.co/FfwCtCG84E— Ronin (@Ronin_Network) 27 avril 2022
Le Federal Bureau of Investigation (FBI) des États-Unis a attribué l’attaque au groupe de piratage basé en Corée du Nord et parrainé par l’État, Lazurus, car il a lancé un avertissement à d’autres organisations de crypto et de blockchain.