A plataforma de finanças descentralizadas (DeFi) Fei Protocol ofereceu uma recompensa de US$ 10 milhões aos hackers na tentativa de negociar e recuperar uma grande parte dos fundos roubados de vários pools da Rari Fuse no valor de US$ 79.348.385,61 - quase US$ 80 milhões.
No sábado, a Fei Protocol informou seus investidores sobre uma exploração em vários pools da Rari Capital Fuse enquanto solicitava aos hackers que devolvessem os fundos roubados contra uma recompensa de US $ 10 milhões e um compromisso “sem perguntas”.
We are aware of an exploit on various Rari Fuse pools. We have identified the root cause and paused all borrowing to mitigate further damage.
— Fei Protocol (@feiprotocol) April 30, 2022
To the exploiter, please accept a $10m bounty and no questions asked if you return the remaining user funds.
Embora as perdas exatas da exploração não tenham sido divulgadas oficialmente, o sistema de monitoramento do investigador do DeFi BlockSec detectou uma perda de mais de US$ 80 milhões – citando a causa raiz como uma vulnerabilidade de reentrada típica. Embora os bugs de reentrância tenham sido os principais culpados em muitas explorações no ecossistema DeFi, o saque de US$ 80 milhões faz com que o Protocolo Fei explore um dos maiores hacks de reentrada de todos os tempos.
Após investigações adicionais, o desenvolvedor do Rari, Jack Longarzo, revelou um total de seis pools vulneráveis (8, 18, 27, 127, 144, 146, 156) que foram temporariamente pausados enquanto uma correção interna está em andamento. No momento da redação deste artigo, os engenheiros de segurança internos e externos de Rari fizeram parceria com o provedor de serviços DeFi Compound Treasury para investigar e neutralizar o hack.
Fornecendo mais informações sobre o desenvolvimento, o investigador de blockchain PeckShield reduziu a exploração a um bug de reentrada, que permite que hackers usem uma função e façam chamadas externas para outro contrato não confiável.
The old reentrancy bug bites again on Compound forks w/ $80M loss! This time, it re-enters via exitMarket()!!! https://t.co/NpC8AAZRXc
— PeckShield Inc. (@peckshield) April 30, 2022
Watch out, all Compound forks in EVM-compliant chains. Get in touch with your auditors now or feel free to contact us if we can be of any help pic.twitter.com/M9JElTWMSd
A plataforma de classificação focada em segurança CertiK disse ao Cointelegraph que o invasor enviou 5400 Ether ( ETH ), ou US$ 15.298.900 no momento da redação, para o Tornado Cash e ainda detém 22.672,97 ETH, ou US$ 64.245.245,43 no momento da redação, em sua carteira. O ataque drenou fundos da Reserva Rari enquanto as Reservas Fei (Tribo, Curva) permanecem inalteradas.
No ano passado, em 8 de maio de 2021, a Rari Capital foi vítima de uma exploração de alto preço relacionada à integração com o Alpha Venture DAO, anteriormente Alpha Finance Lab. No momento da redação deste artigo, não houve anúncios oficiais da equipe do Protocolo Fei sobre os resultados de sua investigação.
À medida que a comunidade criptográfica passa por uma batalha em constante evolução contra hackers, vários projetos e protocolos decidiram ampliar suas medidas de segurança. Em Th, a Ronin Network e a Sky Mavis revelaram planos para atualizar seus contratos inteligentes – após o hack de US $ 600 milhões no mês anterior.
We have put together a postmortem regarding the Ronin exploit that occurred on March 23rd.
— Ronin (@Ronin_Network) April 27, 2022
• Why it happened
• What we're doing to make sure this never happens again
• Ronin bridge re-opening updatehttps://t.co/FfwCtCG84E
O Federal Bureau of Investigation (FBI) dos Estados Unidos atribuiu o ataque ao grupo de hackers Lazurus, sediado na Coreia do Norte e patrocinado pelo Estado, pois disparou um aviso para outras organizações de criptomoedas e blockchain.