黑客入侵後,Rari Capital向其用戶分配了一筆巨額賠償金
Rari Capital迅速糾正了自己的錯誤-DeFi絕對是加密貨幣領域中最具活力的生態系統之一,但不僅以其出色的能力而聞名。 確實,黑客在其各種協議上很常見,現在該輪到Rari Capital付出代價了。 總體而言,它蒙受了1100萬美元的損失。
第一次被譴責的跨鏈攻擊
5月8日星期六下午5點,DeFi Rari Capital協議小組通知用戶,已對其ETH礦池進行了攻擊。 攻擊者耗盡了礦池中60%的資金,相當於2900 ETH,按當前價格計算約為930萬歐元。
像往常一樣,為The Block工作的研究員Igor Iganberdiev返回了活動。
1/7
由於複雜的利用,Rari Capital損失了很多資金,對嗎?
但是,事情遠非如此簡單,我們見證了第一個跨鏈漏洞利用,所以讓我們看看它是如何進行的 pic.twitter.com/ybqW6lGHTg
-Igor Igamberdiev(@FrankResearcher)2021年5月8日
根據他的分析,此攻擊是一個不錯的選擇,因為它涉及2個非常不同的區塊鏈。
實際上,暴徒首先利用Value DeFi協議的vSafe保險庫,在幣安智能鏈上不斷發展。 因此,將5,346個BNB轉換為ETH,並通過AnySwap橋接器轉移到以太坊。
一旦這些資金被盜,攻擊者便能夠使用它們進行第二次攻擊,這一次是針對Rari Capital協議的。
攻擊過程
具體而言,攻擊者利用了Rari Capital和Alpha Finance協議之間的互操作性。 後者提供了一個稱為ibETH的令牌,其「工作」功能使您可以操縱ibETH.totalETH()的值。
攻擊是這樣的:
- 攻擊者將ETH存入Rari Capital的礦池中;
- 它人為地操縱了ibETH.totalHETH()的值;
- 由於ibETH.totalETH()的值有誤,他提取的ETH比存入的更多。
另一個需要改進的審核
似乎Rari Capital的不幸還不夠,看來攻擊者利用的代碼也已經被Quantstamp審計,但尚未發現該漏洞。 然而,資金損失的責任在於協議。
為了減輕災難,該協議的各個貢獻者因此同意向該協議的DAO分配200萬個RGT令牌(Rari Capital自己的令牌),以補償受傷的用戶。
「雖然最初計劃發展團隊,但所有協議貢獻者都選擇通過要求使用新收購的RGT償還損失的資金並獎勵在危機室中提供幫助的人,來將這200萬RGT返還給DAO。 」
Rari Capital公告於5月9日發布
在DeFi上發生此類攻擊後,並不會將所有用戶都獲得報銷。 幸運的是,拉里資本(Rari Capital)有機會糾正這種情況,因為他主要負責相當大的損失。 去中心化財務協議應認真審查其審計方法,以避免將來給用戶帶來不便。
黑客入侵後,Rari Capital首先向Journal du Coin上的用戶分配了一筆巨額的補償金。