COM:Rari Capital遭受重入攻击，损失超8000万美元_comp币历史最高价格

安全实验室监测到以太坊上feiprotocol和RariCapital协议中的多个池子遭到重入攻击，导致损失超8000万美元。

知道创宇区块链安全实验室第一时间跟踪本次事件并分析。

基础信息

众所周知，compound项目的代码本就存在一些安全问题，而feiprotocol和RariCapital协议延用了compound的代码库，同时在doTransferOut()方法的实现中使用了存在重入的写法，导致了事件的发生。

Avalanche DEX Pangolin在Evmos上部署:2月22日消息，Avalanche原生多链DEX Pangolin在Evmos上推出了代币交换和流动性合约功能。这一重大部署将Pangolin社区连接到Cosmos支持IBC的跨链生态系统中，也会给Evmos带来更多的流动性。[2023/2/22 12:23:06]

因此次事件中的多次攻击方式相同，本文仅对一次攻击进行分析。

稳定币TUSD现已接入PancakeSwap:据官方最新消息，高度合规透明的稳定币TUSD现已接入部署在币安智能链上的PancakeSwap，提供TUSD-BUSD流动性即可获得CAKE代币挖矿奖励，前48小时享两倍收益。此外，TUSD还在Syrup Pool糖浆池提供了100万枚TUSD奖励，用户可通过质押CAKE代币获取TUSD奖励，奖励将于60天内释放完毕。每个钱包地址前 48小时最大质押量为100枚CAKE， 此后则不限制数量。

PancakeSwap采用自动做市商（“AMM”）机制，可以在Binance智能链上进行兑换。速度快，费用低，并且允许任何人参与。TUSD是全球最透明,完全抵押并经链上实时验证的美元稳定币。目前已上线币安、火币、Poloniex等70+中心化交易所，基本覆盖头部交易所，并在数十个DeFi交易及借贷平台中流通。TUSD流通量与美元储备比例达到1:1, 实现100%储备，并经全美最大的会计公司之一Armanino实时审计，用户可随时通过官网trueusd.com 获取公开的审计结果。[2021/5/31 22:59:30]

攻击者地址：0x6162759edad730152f0df8115c698a42e666157f

动态 | Pantera旗下比特币基金6年来历史收益超163.8倍，过去12个月收益率61%:区块链投资机构Pantera Capital发布了旗下比特币基金收益情况。要点如下：1.该基金成立6年来，扣除基金管理费后历史总收益超过163.8倍，跑赢比特币表现；2.截止7月7日，该基金前12个月的收益率为 61%；3.该比特币基金的投资者平均持有时间为771天。[2019/7/24]

攻击合约：0x32075bad9050d4767018084f0cb87b3182d36c45

tx：0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6

CEtherDelegator合约：0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C

其次，合约在对用户进行借贷放款时，并未实行检查-生效-交互的模式，更新抵押资产价值在放款之后，使得攻击者能够在借款之后进行函数回调；

最为关键的一点是，攻击者在借款后调用了exitMarket()函数退出借款的市场，之后对抵押品进行赎回，由于此时攻击者已退出市场，因而协议不会计算这笔借款，所以能够成功赎回抵押品。

ETH，随后触发重入；

3、调用exitMarket()函数退出借款的市场，并取出抵押品；

4、归还闪电贷；

5、成功赖账套利，免费借出ETH；

6、最后，攻击者重复攻击手法对协议中的池子进行攻击，成功套利约8000万美元。

总结

本次攻击事件核心是协议引用了存在重入漏洞的compound代码库，导致合约发生重入攻击。

建议项目方在编写项目时，应始终使用检查-生效-交互的模式，并在合约中应用重入锁，在发送以太币时一定要限制gas或者使用thransfer()，一定不要使用存在安全问题的项目代码。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼，另外，近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：CROSEGYCOMPCOMHOTCROSS价格EGYPTcomp币历史最高价格ComBit

以太坊价格今日行情热门资讯