Nền tảng tài chính phi tập trung (DeFi) Fei Protocol đã đề nghị một khoản tiền thưởng trị giá 10 triệu USD cho các tin tặc trong nỗ lực thương lượng và lấy một phần lớn số tiền bị đánh cắp từ các nhóm Rari Fuse khác nhau trị giá 79,348,385.61 USD - gần 80 triệu USD.
Vào thứ Bảy, Fei Protocol đã thông báo cho các nhà đầu tư của mình về một vụ khai thác trên nhiều nhóm Rari Capital Fuse trong khi yêu cầu tin tặc trả lại số tiền bị đánh cắp với tiền thưởng 10 triệu USD và cam kết "không có câu hỏi".
We are aware of an exploit on various Rari Fuse pools. We have identified the root cause and paused all borrowing to mitigate further damage.
— Fei Protocol (@feiprotocol) April 30, 2022
To the exploiter, please accept a $10m bounty and no questions asked if you return the remaining user funds.
Trong khi các khoản lỗ chính xác từ việc khai thác không được công bố chính thức, hệ thống giám sát BlockSec của nhà điều tra DeFi đã phát hiện khoản lỗ hơn 80 triệu USD - với lý do nguyên nhân sâu xa là lỗ hổng gần đây điển hình. Mặc dù các lỗi gần đây là thủ phạm chính trong nhiều vụ khai thác trong hệ sinh thái DeFi, nhưng khoản tiền 80 triệu USD khiến việc khai thác Fei Protocol trở thành một trong những vụ khai thác gần đây nhất từ trước đến nay.
Sau khi điều tra thêm, nhà phát triển Jack Longarzo của Rari đã tiết lộ tổng cộng sáu nhóm dễ bị tấn công (8, 18, 27, 127, 144, 146, 156) đã bị tạm dừng trong khi bản sửa lỗi nội bộ đang được tiến hành. Vào thời điểm viết bài, các kỹ sư bảo mật bên trong và bên ngoài của Rari đã hợp tác với nhà cung cấp dịch vụ DeFi Compound Kho bạc để điều tra thêm và vô hiệu hóa vụ hack.
Cung cấp thêm thông tin chi tiết về sự phát triển, nhà điều tra blockchain PeckShield đã thu hẹp việc khai thác thành một lỗi gần đây, cho phép tin tặc sử dụng một chức năng và thực hiện các cuộc gọi bên ngoài tới một hợp đồng không đáng tin cậy khác.
The old reentrancy bug bites again on Compound forks w/ $80M loss! This time, it re-enters via exitMarket()!!! https://t.co/NpC8AAZRXc
— PeckShield Inc. (@peckshield) April 30, 2022
Watch out, all Compound forks in EVM-compliant chains. Get in touch with your auditors now or feel free to contact us if we can be of any help pic.twitter.com/M9JElTWMSd
Nền tảng xếp hạng tập trung vào bảo mật CertiK nói rằng kẻ tấn công đã gửi 5,400 ETH, tương đương 15,298,900 USD vào thời điểm viết bài, đến Tornado Cash và vẫn giữ 22,672.97 ETH, hoặc 64,245,245.43 USD trong ví của họ. Cuộc tấn công đã rút hết tiền từ hồ bơi Rari trong khi Fei Pools vẫn không bị ảnh hưởng.
Năm ngoái, vào ngày 8 tháng 5 năm 2021, Rari Capital đã trở thành nạn nhân của một vụ khai thác giá cao có liên quan đến việc tích hợp với Alpha Venture DAO, trước đây là Alpha Finance Lab. Tại thời điểm viết bài, chưa có thông báo chính thức nào từ nhóm Fei Protocol về kết quả điều tra của họ.
Khi cộng đồng tiền điện tử trải qua cuộc chiến ngày càng phát triển chống lại tin tặc, nhiều dự án và giao thức đã quyết định tăng cường các biện pháp bảo mật của họ. Trên Th, Ronin Network và Sky Mavis đã tiết lộ kế hoạch nâng cấp hợp đồng thông minh của họ - sau vụ hack 600 triệu đô la vào tháng trước .
Cục Điều tra Liên bang Hoa Kỳ (FBI) quy vụ tấn công là do nhóm hack Lazurus có trụ sở tại Triều Tiên và được nhà nước bảo trợ, vì nó đưa ra cảnh báo cho các tổ chức tiền điện tử và blockchain khác.
