Peretas Rari Fuze menawarkan hadiah $10 juta oleh Fei Protocol untuk mengembalikan jarahan $80 juta

Platform keuangan terdesentralisasi (DeFi) Fei Protocol menawarkan hadiah $10 juta kepada peretas dalam upaya untuk bernegosiasi dan mengambil sebagian besar dana yang dicuri dari berbagai kumpulan Rari Fuse senilai $79.348.385,61 — hampir $80 juta.

Pada hari Sabtu, Protokol Fei memberi tahu investornya tentang eksploitasi di banyak kumpulan Rari Capital Fuse sambil meminta para peretas untuk mengembalikan dana yang dicuri dengan hadiah $ 10 juta dan komitmen "tanpa pertanyaan".

Kami mengetahui eksploitasi di berbagai kumpulan Rari Fuse. Kami telah mengidentifikasi akar penyebabnya dan menghentikan sementara semua peminjaman untuk mengurangi kerusakan lebih lanjut.

Kepada pengeksploitasi, harap terima hadiah $10 juta dan tidak ada pertanyaan jika Anda mengembalikan sisa dana pengguna.

— Protokol Fei (@feiprotocol)30 April 2022

Sementara kerugian pasti dari eksploit tidak dirilis secara resmi, sistem pemantauan penyelidik DeFi BlockSecterdeteksi kerugian lebih dari $80 juta — mengutip akar penyebab sebagai kerentanan reentrancy yang khas. Sementara bug reentrancy telah menjadi penyebab utama dalam banyak eksploitasi dalam ekosistem DeFi, jarahan $80 juta membuat Protokol Fei mengeksploitasi salah satu peretasan reentrancy terbesar yang pernah ada.

Setelah penyelidikan lebih lanjut, pengembang Rari Jack Longarzo mengungkapkan total enam kumpulan rentan (8, 18, 27, 127, 144, 146, 156) yang telah dihentikan sementara saat perbaikan internal sedang berlangsung. Pada saat penulisan, insinyur keamanan internal dan eksternal Rari bermitra dengan penyedia layanan DeFi Compound Treasury untuk menyelidiki dan menetralisir peretasan lebih lanjut.

Memberikan wawasan lebih lanjut tentang pengembangan, penyelidik blockchain PeckShield mempersempit eksploit menjadi bug reentrancy, yang memungkinkan peretas menggunakan fungsi dan melakukan panggilan eksternal ke kontrak lain yang tidak dipercaya.

Bug reentrancy lama menggigit garpu Compound lagi dengan kerugian $80 juta! Kali ini masuk kembali melalui exitMarket()!!!https://t.co/NpC8AAZRXc

Hati-hati, semua garpu majemuk dalam rantai yang sesuai dengan EVM. Hubungi auditor Anda sekarang atau jangan ragu untuk menghubungi kami jika kami dapat membantupic.twitter.com/M9JElTWMSd

— PeckShield Inc. (@peckshield)30 April 2022

Platform peringkat yang berfokus pada keamanan CertiK memberi tahu Cointelegraph bahwa penyerang telah mengirim 5400 Ether (ETH ), atau $15.298.900 pada saat penulisan, ke Tornado Cash dan masih menyimpan 22.672,97 ETH, atau $64.245.245,43 pada saat penulisan, di dompet mereka. Serangan tersebut telah menguras dana dari kumpulan Rari sementara Fei Pools (Suku, Kurva ) tetap tidak terpengaruh.

Tahun lalu pada 8 Mei 2021, Rari Capitalmenjadi korban eksploitasi harga tinggi yang terkait dengan integrasi dengan Alpha Venture DAO, sebelumnya Alpha Finance Lab. Pada saat penulisan, belum ada pengumuman resmi dari tim Protokol Fei tentang hasil penyelidikan mereka.

Terkait:Rencanakan $1M bug bounty dan gandakan node setelah $600M Ronin hack

Saat komunitas crypto melewati pertempuran yang terus berkembang melawan peretas, banyak proyek dan protokol telah memutuskan untuk meningkatkan langkah-langkah keamanan mereka. Pada Th, Jaringan Ronin dan Sky Mavis mengungkapkan rencana untuk meningkatkan kontrak pintar mereka — mengikutiPeretasan $600 juta di bulan sebelumnya .

Kami telah menyusun postmortem terkait eksploitasi Ronin yang terjadi pada 23 Maret.

• Mengapa itu terjadi
• Apa yang kami lakukan untuk memastikan hal ini tidak pernah terjadi lagi
• Pembaruan pembukaan kembali jembatan Roninhttps://t.co/FfwCtCG84E

— Ronin (@Ronin_Network)27 April 2022

Biro Investigasi Federal Amerika Serikat (FBI) menghubungkan serangan itu dengan kelompok peretasan Lazurus yang berbasis di Korea Utara dan disponsori negara, karena memberikan peringatan kepada organisasi crypto dan blockchain lainnya.