Compound:Rari Capital遭受重入攻击，损失超8000万美元_comp币价格

安全实验室监测到以太坊上feiprotocol和RariCapital协议中的多个池子遭到重入攻击，导致损失超8000万美元。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

众所周知，compound项目的代码本就存在一些安全问题，而feiprotocol和RariCapital协议延用了compound的代码库，同时在doTransferOut()方法的实现中使用了存在重入的写法，导致了事件的发生。

MoonPay和NFT市场LooksRare建立新的合作伙伴关系:金色财经报道，Web3支付公司 MoonPay 宣布正在与非同质代币 (NFT) 市场 LooksRare 合作，以允许交易者在该平台上轻松购买加密货币和 NFT。MoonPay 的基础设施旨在帮助 LooksRare 客户加入 Web3，并将提供一套产品来促进高效交易。它的“NFT Checkout”功能允许收藏家使用借记卡或信用卡购买 NFT，而无需先购买加密货币，它还将允许 MoonPay 用户购买市场的原生代币 LOOKS。[2023/2/10 11:57:52]

因此次事件中的多次攻击方式相同，本文仅对一次攻击进行分析。

VSAPartners与RareAirMedia合作，基于XRPL推出迈克尔·乔丹相关NFT系列:4月8日消息，迈克尔·乔丹的视觉自传《FortheLoveoftheGame》的制作人RareAirMedia开始涉足NFT领域。目前，该公司正与VSAPartners（Ripple旗下CreatorFund的主要创意机构合作伙伴）合作，以在XRPL上设计、开发和销售一系列NFT，包括覆盖前NBA球员迈克尔·乔丹的生平和传奇职业生涯的数字资产。第一批NFT预计将于2022年第二季度发布，其中将包括迈克尔·乔丹原始、重要图像的精选，及其个人想法和观察。此前消息，Ripple去年9月宣布创建了一个2.5亿美元的创建者基金，以支持基于XRPLedger的NFT项目。到目前为止，它已收到超4000份申请。[2022/4/8 14:11:59]

攻击者地址：0x6162759edad730152f0df8115c698a42e666157f

数据：已有1.3亿枚RARE代币被大约6000个独立地址申领:8月22日消息，SuperRare官方表示，截止8月21日，已经有1.3亿枚RARE代币被大约6000个独立地址申领，前100个地址大约持有RARE总供应量的6%。所有在2021年7月21日之前，在SuperRare上收藏和出售艺术作品的用户都有资格获得RARE空投。此前消息，加密艺术平台SuperRare宣布发行平台币RARE，并开启1.5亿枚RARE空投。[2021/8/22 22:29:33]

攻击合约：0x32075bad9050d4767018084f0cb87b3182d36c45

tx：0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6

CEtherDelegator合约：0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C

其次，合约在对用户进行借贷放款时，并未实行检查-生效-交互的模式，更新抵押资产价值在放款之后，使得攻击者能够在借款之后进行函数回调；

最为关键的一点是，攻击者在借款后调用了exitMarket()函数退出借款的市场，之后对抵押品进行赎回，由于此时攻击者已退出市场，因而协议不会计算这笔借款，所以能够成功赎回抵押品。

ETH，随后触发重入；

3、调用exitMarket()函数退出借款的市场，并取出抵押品；

4、归还闪电贷；

5、成功赖账套利，免费借出ETH；

6、最后，攻击者重复攻击手法对协议中的池子进行攻击，成功套利约8000万美元。

总结

本次攻击事件核心是协议引用了存在重入漏洞的compound代码库，导致合约发生重入攻击。

建议项目方在编写项目时，应始终使用检查-生效-交互的模式，并在合约中应用重入锁，在发送以太币时一定要限制gas或者使用thransfer()，一定不要使用存在安全问题的项目代码。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼，另外，近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：CompoundCOMPUNDETHCompound币圈comp币价格XFUNDTOGETHERBnB游戏

火币交易所热门资讯