黑客入侵后,Rari Capital向其用户分配了一笔巨额赔偿金
Rari Capital迅速纠正了自己的错误-DeFi绝对是加密货币领域中最具活力的生态系统之一,但不仅以其出色的能力而闻名。 确实,黑客在其各种协议上很常见,现在该轮到Rari Capital付出代价了。 总体而言,它蒙受了1100万美元的损失。
第一次被谴责的跨链攻击
5月8日星期六下午5点,DeFi Rari Capital协议小组通知用户,已对其ETH矿池进行了攻击。 攻击者耗尽了矿池中60%的资金,相当于2900 ETH,按当前价格计算约为930万欧元。
像往常一样,为The Block工作的研究员Igor Iganberdiev返回了活动。
1/7
由于复杂的利用,Rari Capital损失了很多资金,对吗?
但是,事情远非如此简单,我们见证了第一个跨链漏洞利用,所以让我们看看它是如何进行的 pic.twitter.com/ybqW6lGHTg
-Igor Igamberdiev(@FrankResearcher)2021年5月8日
根据他的分析,此攻击是一个不错的选择,因为它涉及2个非常不同的区块链。
实际上,暴徒首先利用Value DeFi协议的vSafe保险库,在币安智能链上不断发展。 因此,将5,346个BNB转换为ETH,并通过AnySwap桥接器转移到以太坊。
一旦这些资金被盗,攻击者便能够使用它们进行第二次攻击,这一次是针对Rari Capital协议的。
攻击过程
具体而言,攻击者利用了Rari Capital和Alpha Finance协议之间的互操作性。 后者提供了一个称为ibETH的令牌,其“工作”功能使您可以操纵ibETH.totalETH()的值。
攻击是这样的:
- 攻击者将ETH存入Rari Capital的矿池中;
- 它人为地操纵了ibETH.totalHETH()的值;
- 由于ibETH.totalETH()的值有误,他提取的ETH比存入的更多。
另一个需要改进的审核
似乎Rari Capital的不幸还不够,看来攻击者利用的代码也已经被Quantstamp审计,但尚未发现该漏洞。 然而,资金损失的责任在于协议。
为了减轻灾难,该协议的各个贡献者因此同意向该协议的DAO分配200万个RGT令牌(Rari Capital自己的令牌),以补偿受伤的用户。
“虽然最初计划发展团队,但所有协议贡献者都选择通过要求使用新收购的RGT偿还损失的资金并奖励在危机室中提供帮助的人,来将这200万RGT返还给DAO。 ”
Rari Capital公告于5月9日发布
在DeFi上发生此类攻击后,并不会将所有用户都获得报销。 幸运的是,拉里资本(Rari Capital)有机会纠正这种情况,因为他主要负责相当大的损失。 去中心化财务协议应认真审查其审计方法,以避免将来给用户带来不便。
黑客入侵后,Rari Capital首先向Journal du Coin上的用户分配了一笔巨额的补偿金。