La plataforma de finanzas descentralizadas (DeFi) Fei Protocol ofreció a los piratas informáticos una recompensa de $ 10 millones para negociar y recuperar una gran parte de los fondos robados de varios grupos de Rari Fuse por un valor de $ 79,348,385.61, casi $ 80 millones.
El sábado, Fei Protocol informó a sus inversores sobre un exploit en numerosos grupos de Rari Capital Fuse y exigió que los piratas informáticos devolvieran los fondos robados a cambio de una prima de $ 10 millones y una promesa sin preguntas.
Somos conscientes de un exploit en varios grupos de Rari Fuse. Identificamos la causa raíz y detuvimos el préstamo para mitigar más daños.
Para el explotador, acepte una recompensa de $ 10 millones y no haga preguntas al devolver los fondos restantes del usuario.
— Protocolo Fei (@feiprotocol) 30 de abril de 2022
Si bien las pérdidas exactas del exploit no se han publicado oficialmente, el sistema de monitoreo del investigador de DeFi BlockSec descubrió una pérdida de más de $ 80 millones, citando la causa raíz como una vulnerabilidad de reingreso típica. Si bien los errores de reingreso han sido los principales culpables de muchas vulnerabilidades dentro del ecosistema DeFi, el botín de $ 80 millones convierte al protocolo Fei en uno de los mayores ataques de reingreso de todos los tiempos.
Tras una mayor investigación, el desarrollador de Rari, Jack Longarzo, reveló un total de seis grupos vulnerables (8, 18, 27, 127, 144, 146, 156) que se suspendieron temporalmente mientras se realizaba una reparación interna. En el momento de escribir este artículo, los ingenieros de seguridad internos y externos de Rari estaban trabajando con el proveedor de servicios DeFi Compound Treasury para investigar más a fondo y neutralizar el ataque.
El investigador de blockchain, PeckShield, proporcionó más información sobre el desarrollo y redujo el exploit a un error de reingreso que permite a los piratas informáticos usar una función y realizar llamadas externas a otro contrato que no es de confianza.
¡El viejo error de reentrada muerde las horquillas compuestas nuevamente con una pérdida de $ 80 millones! ¡¡¡Esta vez vuelve a entrar a través de exitMarket()!!! https://t.co/NpC8AAZRXc
Atención a todas las horquillas compuestas en cadenas compatibles con EVM. Póngase en contacto con sus auditores ahora o contáctenos si podemos ayudarlo más pic.twitter.com/M9JElTWMSd
— PeckShield Inc. (@peckshield) 30 de abril de 2022
La plataforma de clasificación centrada en la seguridad CertiK le dijo a Cointelegraph que el atacante envió 5400 Ether (ETH) o $15 298 900 a Tornado Cash en el momento de escribir este artículo y todavía tiene 22 672,97 ETH o $64 245 245,43 en el momento de escribir este artículo en su billetera. El ataque drenó los fondos del grupo Rari y dejó intactos los grupos Fei (Tribe, Curve).
El año pasado, el 8 de mayo de 2021, Rari Capital fue víctima de un exploit de alto precio relacionado con su integración con Alpha Venture DAO, anteriormente Alpha Finance Lab. Al momento de escribir este artículo, no ha habido anuncios oficiales del equipo del Protocolo Fei con respecto a los hallazgos de su investigación.
Relacionada: Planifique $ 1 millón en recompensas de errores y nodos dobles después de un truco de Ronin de $ 600 millones
A medida que la comunidad cripto atraviesa una batalla en constante evolución contra los piratas informáticos, numerosos proyectos y protocolos han decidido fortalecer sus medidas de seguridad. El jueves, Ronin Network y Sky Mavis revelaron planes para actualizar sus contratos inteligentes, luego del hackeo de $600 millones del mes anterior.
Preparamos una autopsia del exploit Ronin del 23 de marzo.
• Porqué sucedió
• Qué estamos haciendo para asegurarnos de que esto nunca vuelva a suceder
• Actualización sobre la reapertura del puente Roninhttps://t.co/FfwCtCG84E— Ronin (@Ronin_Network) 27 de abril de 2022
La Oficina Federal de Investigaciones (FBI) de los Estados Unidos atribuyó el ataque al grupo de piratería Lazurus, con sede en Corea del Norte y patrocinado por el estado, ya que emitió una advertencia a otras organizaciones de criptomonedas y blockchain.
