Rari Capital遭受重入攻擊，損失超8000萬美元_ARE

安全實驗室監測到以太坊上feiprotocol和RariCapital協議中的多個池子遭到重入攻擊，導致損失超8000萬美元。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

眾所周知，compound項目的代碼本就存在一些安全問題，而feiprotocol和RariCapital協議延用了compound的代碼庫，同時在doTransferOut()方法的實現中使用了存在重入的寫法，導致了事件的發生。

SuperRare創始人：SuperRare平臺不會取消NFT版稅:2月28日消息，SuperRare創始人Jonathan Perkins在NFT巴黎會議期間表示，向創作者付費的決定早在五年前就已做出。他表示，“當時我們采取了一個相當有爭議的舉措，將藝術家版稅包括在內。如果我們可以通過版稅幫助藝術家賺錢，為什么不至少嘗試一下呢？因此，我們在建立某種標準方面發揮了一定作用，至少在藝術方面。SuperRare的版稅不會消失。”

SuperRare是面向藝術創作者和NFT收藏者的社交網絡。Perkins認為，更廣泛的市場面臨的挑戰與該平臺面臨的挑戰大不相同，因為SuperRare上的收藏者通常不進行高頻交易或試圖快速賺錢。“我們花了五年時間建立了一個社區，讓收藏者真正與藝術家建立聯系，而且有更多的善意和長遠眼光，這往往會使人們更容易就保留版稅達成共識。”（Decrypt）[2023/2/28 12:33:53]

因此次事件中的多次攻擊方式相同，本文僅對一次攻擊進行分析。

CryptoRank發布市盈率排名，X2Y2、LooksRare、dYdX領先:8月26日消息，CryptoRank發布加密項目市盈率排名，去中心化NFT交易市場X2Y2以最低市盈率4.1倍位列第一，二三名分別是LooksRare、dYdX。[2022/8/26 12:50:04]

攻擊者地址：0x6162759edad730152f0df8115c698a42e666157f

NFT市場LooksRare因DDoS攻擊短暫離線:1月11日消息，NFT市場LooksRare推出數小時后遭遇DDoS攻擊，造成短暫離線。部分用戶反饋無法連接錢包并上架其NFT。 LooksRare團隊很快恢復網站，但錢包問題依然存在。（FX Empire）[2022/1/11 8:41:21]

攻擊合約：0x32075bad9050d4767018084f0cb87b3182d36c45

tx：0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6

CEtherDelegator合約：0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C

其次，合約在對用戶進行借貸放款時，并未實行檢查-生效-交互的模式，更新抵押資產價值在放款之后，使得攻擊者能夠在借款之后進行函數回調；

最為關鍵的一點是，攻擊者在借款后調用了exitMarket()函數退出借款的市場，之后對抵押品進行贖回，由于此時攻擊者已退出市場，因而協議不會計算這筆借款，所以能夠成功贖回抵押品。

ETH，隨后觸發重入；

3、調用exitMarket()函數退出借款的市場，并取出抵押品；

4、歸還閃電貸；

5、成功賴賬套利，免費借出ETH；

6、最后，攻擊者重復攻擊手法對協議中的池子進行攻擊，成功套利約8000萬美元。

總結

本次攻擊事件核心是協議引用了存在重入漏洞的compound代碼庫，導致合約發生重入攻擊。

建議項目方在編寫項目時，應始終使用檢查-生效-交互的模式，并在合約中應用重入鎖，在發送以太幣時一定要限制gas或者使用thransfer()，一定不要使用存在安全問題的項目代碼。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：ARERARENFTSUPERflare幣最新消息SuperRareMYNFT幣Super Mine Pool

比特幣價格今日行情