Die dezentralisierte Finanzplattform (DeFi) Fei Protocol bot Hackern ein Kopfgeld in Höhe von 10 Millionen US-Dollar an, um einen großen Teil der gestohlenen Gelder aus verschiedenen Rari-Fuse-Pools im Wert von 79.348.385,61 US-Dollar oder fast 80 Millionen US-Dollar auszuhandeln und zurückzugewinnen.
Am 30. April informierte Fei Protocol seine Investoren über einen Exploit in zahlreichen Rari Capital Fuse-Pools und forderte die Hacker auf, die gestohlenen Gelder gegen ein Kopfgeld von 10 Millionen US-Dollar und eine Verpflichtung, keine Fragen zu stellen, zurückzugeben.
Uns ist ein Exploit in verschiedenen Rari-Fuse-Pools bekannt. Wir haben die Grundursache identifiziert und die Kreditaufnahme pausiert, um weiteren Schaden zu mindern.
Akzeptieren Sie für den Ausbeuter bitte eine Prämie von 10 Millionen US-Dollar und stellen Sie keine Fragen, wenn Sie die verbleibenden Benutzergelder zurückgeben.
— Fei-Protokoll (@feiprotocol) 30. April 2022
Während die genauen Verluste aus dem Exploit nicht offiziell veröffentlicht wurden, hat das Überwachungssystem des DeFi-Ermittlers BlockSec erkannt ein Verlust von mehr als 80 Millionen US-Dollar – wobei die Hauptursache als typische Reentrancy-Schwachstelle angegeben wird. Während Reentrancy-Bugs der Hauptschuldige bei vielen Exploits innerhalb des DeFi-Ökosystems waren, macht die Beute von 80 Millionen Dollar das Fei-Protokoll zu einem der größten Reentrancy-Hacks aller Zeiten.
Bei weiteren Untersuchungen enthüllte Rari-Entwickler Jack Longarzo insgesamt sechs gefährdete Pools (8, 18, 27, 127, 144, 146, 156), die vorübergehend angehalten wurden, während ein interner Fix im Gange war. Zum Zeitpunkt des Verfassens dieses Artikels arbeiteten die internen und externen Sicherheitsingenieure von Rari mit dem DeFi-Dienstleister Compound Treasury zusammen, um den Hack weiter zu untersuchen und zu neutralisieren.
Der Blockchain-Ermittler PeckShield lieferte weitere Einblicke in die Entwicklung und grenzte den Exploit auf einen Reentrancy-Bug ein, der es Hackern ermöglicht, eine Funktion zu verwenden und externe Aufrufe an einen anderen nicht vertrauenswürdigen Vertrag zu tätigen.
Der alte Reentrancy-Bug beißt wieder auf Compound-Gabeln mit einem Verlust von 80 Millionen US-Dollar! Diesmal tritt es über exitMarket() wieder ein!!! https://t.co/NpC8AAZRXc
Aufgepasst, alle Compound-Gabeln in EVM-konformen Ketten. Setzen Sie sich jetzt mit Ihren Auditoren in Verbindung oder kontaktieren Sie uns, wenn wir Ihnen weiterhelfen können pic.twitter.com/M9JElTWMSd
– PeckShield Inc. (@peckshield) 30. April 2022
Die sicherheitsorientierte Ranking-Plattform CertiK teilte Cointelegraph mit, dass der Angreifer 5400 Ether (ETH) (ca. Der Angriff hat Gelder aus dem Rari-Pool abgezogen, während die Fei-Pools (Tribe, Curve) unberührt bleiben.
Letztes Jahr, am 8. Mai 2021, wurde Rari Capital Opfer eines hochpreisigen Exploits, der im Zusammenhang mit einer Integration mit Alpha Venture DAO (ehemals Alpha Finance Lab) stand. Zum Zeitpunkt der Berichterstattung gab es keine offiziellen Ankündigungen des Fei-Protokollteams zu den Ergebnissen ihrer Untersuchung.
Verwandt: Planen Sie Bug-Prämien in Höhe von 1 Million US-Dollar ein und verdoppeln Sie die Nodes nach einem Ronin-Hack im Wert von 600 Millionen US-Dollar
Während die Krypto-Community einen sich ständig weiterentwickelnden Kampf gegen Hacker durchläuft, haben zahlreiche Projekte und Protokolle beschlossen, ihre Sicherheitsmaßnahmen zu verstärken. Am 28. April gaben das Ronin Network und Sky Mavis Pläne bekannt, ihre Smart Contracts zu aktualisieren – nach dem 600-Millionen-Dollar-Hack im Vormonat.
Wir haben eine Obduktion bezüglich des Ronin-Exploits vom 23. März zusammengestellt.
• Warum es passiert ist
• Was wir tun, um sicherzustellen, dass dies nie wieder passiert
• Update zur Wiedereröffnung der Ronin-Brückehttps://t.co/FfwCtCG84E– Ronin (@Ronin_Network) 27. April 2022
Das Federal Bureau of Investigation (FBI) schrieb den Angriff der in Nordkorea ansässigen und staatlich geförderten Hacking-Gruppe Lazurus zu, da sie eine Warnung an andere Krypto- und Blockchain-Organisationen abgab.