- Uma recompensa de US $ 10 milhões foi oferecida juntamente com a restrição “sem perguntas” pelo protocolo Fei.
- Esse bug é muito mais antigo que a própria solidez da linguagem de programação.
O pool Rari Fuse, que tem uma fusão de cinco meses com a Fei Protocol, enfrentou um ataque de US$ 80 milhões pelos hackers. Isso veio à tona quando o Protocolo Fei fez o seguinte tweet em 04/30/2022.
Embora, de acordo com Lei Wu, diretor técnico da Blocksec, 5400 ETH já foi transferido para o Torando Cash, uma plataforma usada pelos hackers para quebrar os links on-chain entre o remetente e o destinatário. Além disso, PeckSheild analisou esse ataque e mencionou que é devido ao defeito de reentrada nos contratos inteligentes, conforme mencionado em seu tweet.
Peckshield tuitou:
“O velho bug da reentrada morde novamente nos garfos compostos com perda de US$ 80 milhões! Desta vez, ele entra novamente via exitMarket()!!! “
Ataques de reentrada
Esse bug é muito mais antigo que a própria solidez da linguagem de programação. Uma explicação simples do que é, “quando o contrato A chama o contrato B, e o contrato B chama o contrato A, quando A ainda não atualizou seu estado e isso leva a algum comportamento prejudicial inesperado”, dada por Paweł Kuryłowicz, Consultor Principal de Segurança de TI.
As principais instâncias de hacks de reentrada são hacks Uniswap/Lendf.Me de US$ 25 milhões, hack CREAM FINANCE de US$ 18.8 milhões, hack de US$ 7.2 milhões do BurgerSwap. Embora diferentes ferramentas e métodos tenham sido empregados para a prevenção desse ataque, tudo fica aquém, pois eles são desenvolvidos com base apenas nas histórias anteriores e no estudo desses padrões.
As características imutáveis também atuam como uma desvantagem aqui, pois se um novo caminho para reentrada estiver sendo detectado, os desenvolvedores não poderão atualizar o contrato existente, em vez disso, um novo contrato inteligente deverá ser criado. O período de tempo entre se torna uma benção para os hackers. Além disso, uma recompensa de US $ 10 milhões foi oferecida juntamente com a restrição “sem perguntas” do protocolo Fei ao hacker.
Estamos cientes de uma exploração em vários pools de Rari Fuse. Identificamos a causa raiz e interrompemos todos os empréstimos para mitigar mais danos.
Para o explorador, por favor, aceite uma recompensa de US$ 10 milhões e não faça perguntas se você devolver os fundos restantes do usuário.
— Protocolo Fei (@feiprotocol) 30 de abril de 2022
Fonte: https://thenewscrypto.com/huge-re-entrancy-attack-80-million-stolen-from-rari-fuse-pool/