死神來了之重入攻擊，Fei Protocol漏洞導致7935萬美元被盜事件分析_TCS

北京時間2022年2022年4月30日，FeiProtocol宣布他們正在調查RariFuse池上的一個漏洞。目前該項目已經暫停了所有借款以減少進一步的損失，并公開向攻擊者提供1000萬美元用以交換黑客所盜的用戶資金，并保證不事后進行追問。

目前報告的總損失約為7935萬美元，攻擊者已經向TornadoCash發送了5400個ETH，不過他們的錢包里仍持有22,672.97個ETH。這次攻擊已經耗盡了Rari幣池的資金，Fei幣池暫未受到影響。

Moonbirds：4月18日啟動Diamond Nest“Choice Pass”空投:金色財經報道，NFT項目Moonbirds在社交媒體宣布將于4月27日啟動獨家Diamond Exhibition NFT投放，屆時將展示22位藝術家的1萬件數字藝術品，包括Beeple、Greylesian、Dirty Robot等。此外，Moonbirds還宣布將在4月18日啟動Diamond Nest“Choice Pass”空投，4月24-27日，Choice Pass持有者可以選擇自己關注的藝術家，后續Choice Pass持有者的抽獎和空投將于4月27日進行。[2023/4/8 13:51:27]

一位Rari團隊成員在項目Discord中回應了此事，并表示"Fuse中的一些借貸人可能受到影響"，以及"Fuse池中的PCV可能會有風險"。

Polygon Q4報告：基于Polygon的活躍錢包數Q4創歷史新高:金色財經報道，Polygon發布Q4運營報告，報告稱，基于Polygon的活躍錢包數呈上升趨勢，Q4 創歷史新高 1100 萬+，較去年 Q4 增長 115%，活躍錢包總數達到 2.06 億（較 2021 年增長 58%）。

盡管2022下半年主要的交易量大幅下降，但 Polygon 網絡保持了月交易量超過 8000 萬美元的健康水平。另一方面，Binance 的交易量從年初下降到 6800 萬美元左右，不到其一半，Avalanche 一直穩定到 4 月，但到 12 月下降到 280 萬美元。

此外，盡管市場放緩，但 Polygon 上的游戲和 DeFi dApp 并未出現大幅下滑。9 月份游戲錢包的激增可歸因于 Animoca Brands 推出的免費游戲Benji Bananas，該游戲去年增加了 140 萬+ 活躍錢包并處理了 400 萬+ 交易。[2023/2/25 12:28:50]

該Rari團隊成員還證實，僅可借貸的資產易受攻擊，不過目前該情況已得到改善。

BTCST：正與幣安合作補償BTCST持有者，將以10美元的價格進行回購:12月19日消息，比特幣標準算力項目BTCST發推表示，幾天前幣安宣布將下架BTCST，但沒有先向我們確認，導致BTCST價格下跌超過50%，目前正在與幣安合作以補償BTCST持有者，將以10美元的價格回購BTCST。截至發文時，幣安上BTCST價格為2.34美元。[2022/12/19 21:53:34]

初步報告顯示這個漏洞很可能是因為重入問題導致的，這是智能審計中最常見的錯誤，也是諸多漏洞產生的罪魁禍首——例如2016年臭名昭著的TheDAO黑客事件和近年來受害的幾個主要協議↓

○2020年4月Uniswap/Lendf.Me被黑客利用重入漏洞進行攻擊，受盜資產500萬美元，

○?2021年5月BurgerSwap因虛假合約及一個重入性的漏洞被黑客惡意利用，受盜資產720萬美元。

○?2021年8月SURGEBNB受盜，黑客似乎是利用了基于重入的價格操縱來進行攻擊，本次事件受盜資產400萬美元。

○?2021年8月CREAMFINANCE的重入性漏洞可讓黑客進行二次借貸，受盜資產1880萬美元。

○?2021年9月Siren協議遭受攻擊，受盜資產350萬美元——其AMM池被重入式攻擊。

CertiK本周在medium上發布了一篇關于重入式攻擊的文章：https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001

該文近期將于CertiK官方公眾號發布中文版，請小伙伴們持續關注！

安全升級報告，稱他們已經修補了一個與Fusepools有關的安全問題。

這個補丁可阻止函數所需的重入，以此修復了Compound的已知漏洞。盡管這一手段可保護許多系統功能，但并未能對exitMarket()生效。即使全局重入鎖處于激活狀態，當惡意攻擊者收到ETH時，他們就可調用exitMarket()。

FeiProtocol在本月初也曾遇到一些問題，當時他們本可以在漏洞發生之前阻止但情況并非如此盡如人意：他們通過漏洞賞金計劃發現了一個bug，導致他們在修復漏洞的同時關閉了rebateprogram。

截至目前，FeiProtocol團隊還沒有正式宣布他們的調查結果。

Tags：BTCCSTBTCSTCSBTCT幣BCST幣btcs幣多少錢一個中本聰BTCs

火必交易所