ECOIN:Fei Protocol被攻击事件分析：“重入漏洞”如何破_EXCAVO Protocol

2022年4月30日，成都链安链必应-区块链安全态势感知平台舆情监测显示，FeiProtocol官方的RariFusePool遭受黑客攻击，黑客获利约28380ETH，约8034万美元，成都链安技术团队第一时间对事件进行了分析，结果如下。

#1事件相关信息

由于漏洞出现在项目基本协议中，攻击者不止攻击了一个合约，以下仅分析一例

攻击交易

微众银行马智涛：数字世界和实体世界深度融合的三个可探索方向:金色财经报道，2月24日，微众银行副行长兼首席信息官马智涛在“2022产业区块链年度峰会暨FISCO BCOS五周年生态大会”表示，在数字世界与实体世界深度融合上，行业目前仍面临现实瓶颈。而基于区块链技术打造的元宇宙平台，能够将各产业分散的数字化应用从“点”整合成“面”，为更全面的数字化提供了实现基础。

在会上，马智涛分享了行业在构建数字孪生体、营造数实交融的服务场景、助力数据资产化和资产数字化以释放数据要素价值等三个探索方向。他认为，这三个探索方向，在元宇宙这个领域非常值得去深挖，其中区块链的技术扮演着一个非常重要的支撑的角色。[2023/2/27 12:30:54]

0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530

红鱼量化和DFORK达成深度战略合作:据官方消息，近期，全智能AI量化平台红鱼pro与DFORK达成深度战略合作，共同开发数字货币市场。

红鱼pro是一款数字货币量化交易软件。

DFORK是一个聚合性多链交易的去中心化清结算网络。

红鱼量化将使用DOR多尔币作为平台燃料，底层公链系统通证DK也改为DOR，作为清结算网络的平台币，DOR将在四大应用场景中使用：燃料销毁机制，手续费回购销毁机制，底层公链协议结算gas消耗机制，实体矿机算力挖矿产出DOR。DOR多尔币总量为1.8亿，DOR将在在六月份进行社区投票上线交易所。[2021/5/11 21:47:40]

攻击者地址

BK Capital宣布二级市场增持分布式存储项目CMD，并达成深度战略合作:近日，BK Capital宣布在二级市场增持CMD项目，未来双方将在品牌宣传、技术社区等多维度展开深度合作，共建多元化社区生态，助力CMD领域的生态建设。

CMD是一个具有独立的、自我修复的内置智能合约的公链，CMD生态系统中的空间可以相互通信，交换和互操作，从而提高了节点网络的健壮性和可用性。CMD目前结合了各种匿名协议，提高了整个交易链的安全性和隐私性，同时其独特的DPOS+POC+POJ应用奖池可以让更多的矿工参与进来。

BK Capital隶属必客集团，是集团旗下唯一一支涵盖投资、孵化的数字货币基金，业务包括区块链行业的一级市场的币权投资和股权投资、二级市场的数字资产资管服务。[2020/10/21]

0x6162759edad730152f0df8115c698a42e666157f

攻击合约

0x32075bad9050d4767018084f0cb87b3182d36c45

被攻击合约

0x26267e41CeCa7C8E0f143554Af707336f27Fa051

#2?攻击流程

1.攻击者先从Balancer:Vault中进行闪电贷。

2.将闪电贷的资金用于RariCapital中进行抵押借贷，由于RariCapital的cEther实现合约存在重入。

攻击者通过攻击合约中构造的攻击函数回调，提取出受协议影响的池子中所有的代币。

3.归还闪电贷，将攻击所得发送到0xe39f合约中

3?漏洞分析

本次攻击主要利用了RariCapital的cEther实现合约中的重入漏洞

4?资金追踪

截止发文时，被盗资金超过28380?ETH，用成都链安“链必追”追踪发现攻击者正在通过TornadoCash进行转移，大部分仍在攻击者地址。

5?总结

针对本次事件，成都链安安全团队建议：

进行以太坊转账时，谨慎使用call.value。使用时要确保重入不会发生。项目上线前，建议选择专业的安全审计公司进行全面的安全审计，规避安全风险。

标签：ECOINECOABSCOLgliesecoinNECOABST价格EXCAVO Protocol

Uniswap热门资讯