Fei Protocol被攻擊事件分析：“重入漏洞”如何破_FEI

2022年4月30日，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，Fei Protocol官方的Rari Fuse Pool遭受黑客攻擊，黑客獲利約28380 ETH，約8034萬美元，成都鏈安技術團隊第一時間對事件進行了分析，結果如下。

由于漏洞出現在項目基本協議中，攻擊者不止攻擊了一個合約，以下僅分析一例

攻擊交易

Monero首席研究員Aaron Feickert加入Firo研究團隊:官方消息，隱私幣Monero首席研究員Aaron Feickert博士，將通過區塊鏈咨詢和數字實用程序提供商Cypher Stack加入隱私幣Firo研究團隊。最近，Feickert協助Firo強化了Lelantus，并提供了有關Lelantus v2設計的反饋。[2021/4/11 20:07:13]

0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530

聚幣Jubi已開通支持FEI及TRIBE一鍵跨鏈Heco:聚幣Jubi已開通FEI及TRIBE一鍵跨鏈Heco功能。在聚幣官網可將Erc20 FEI一鍵跨鏈為Heco FEI，將Erc20 TRIBE一鍵跨鏈為Heco FEI。跨鏈Heco后兩個鏈上的代幣相同價值、同步流通。跨鏈Heco后資產可挖礦其他Heco項目，并享受更低成本的交易或轉賬費用。FEI及TRIBE跨鏈Heco暫不收取手續費用。跨鏈地址及詳情見聚幣官網公告。

FEI和TRIBE均為Fei.money項目的代幣。FEI USD 是一直通過直接激勵機制調整的新的美元穩定幣. TRIBE 是FEI.money穩定幣項目的治理代幣，用于通過治理來調整FEI USD的錨定機制。[2021/4/5 19:47:25]

攻擊者地址

算法穩定幣FEI、TRIBE上線MXC抹茶，開放現貨、杠桿、API交易:據官方公告，新一代算法穩定幣FEI，及其治理資產TRIBE已上線MXC抹茶，開放現貨、杠桿、API交易，充值、提現已開啟。現貨交易，開放FEI/USDT、TRIBE/USDT交易對，充值FEI或TRIBE，可瓜分5000 USDT；杠桿交易，FEI/USDT支持10倍杠桿多空雙向交易，TRIBE/USDT支持5倍杠桿多空雙向交易；4月4日9:00—10日9:00，通過API或網格交易FEI、TRIBE，且交易額大于1000USDT，可參與瓜分2萬USDT。

資料顯示，FEI是新一代算法穩定幣，TRIBE是其治理資產。FEI通過直接獎勵與PCV機制，1:1錨定美元價值。[2021/4/4 19:44:53]

0x6162759edad730152f0df8115c698a42e666157f

攻擊合約

0x32075bad9050d4767018084f0cb87b3182d36c45

被攻擊合約

0x26267e41CeCa7C8E0f143554Af707336f27Fa051

1. 攻擊者先從Balancer: Vault中進行閃電貸。

2. 將閃電貸的資金用于Rari Capital中進行抵押借貸，由于Rari Capital的cEther實現合約存在重入。

攻擊者通過攻擊合約中構造的攻擊函數回調，提取出受協議影響的池子中所有的代幣。

3. 歸還閃電貸，將攻擊所得發送到0xe39f合約中

本次攻擊主要利用了Rari Capital的cEther實現合約中的重入漏洞

4?資金追蹤

截止發文時，被盜資金超過28380?ETH（約8034萬美元），用成都鏈安“鏈必追”追蹤發現攻擊者正在通過Tornado Cash進行轉移，大部分仍在攻擊者地址。

針對本次事件，成都鏈安安全團隊建議：

進行以太坊轉賬時，謹慎使用call.value。使用時要確保重入不會發生。項目上線前，建議選擇專業的安全審計公司進行全面的安全審計，規避安全風險。

Tags：FEITRITRIBETRIBFEI幣Stripchat代幣有啥用TRIBEX幣tribe幣最新消息

比特幣價格今日行情