Хакер Rari Fuze получил вознаграждение в $10 млн. от Fei Protocol за возвращение награбленных $80 млн.
Decentralized finance (DeFi) platform Fei Protocol offered a $10 million bounty to hackers in an attempt to negotiate and retrieve a major chunk of the stolen funds from various Rari Fuse pools worth $79,348,385.61 — nearly $80 million.
On Saturday, Fei Protocol informed its investors about an exploit across numerous Rari Capital Fuse pools while requesting the hackers to return the stolen funds against a $10 million bounty and a “no questions asked” commitment.
Quote.
We are aware of an exploit on various Rari Fuse pools. We have identified the root cause and paused all borrowing to mitigate further damage.
To the exploiter, please accept a $10m bounty and no questions asked if you return the remaining user funds.
— Fei Protocol (@feiprotocol) April 30, 2022
End of Quote.
While the exact losses from the exploit were not officially released, DeFi investigator BlockSec’s monitoring system detected a loss of more than $80 million — citing the root cause as a typical reentrancy vulnerability. While reentrancy bugs have been the main culprit in many exploits within the DeFi ecosystem, the $80 million loot makes the Fei Protocol exploit one of the largest reentrancy hacks ever.
Upon further investigations, Rari developer Jack Longarzo revealed a total of six vulnerable pools (8, 18, 27, 127, 144, 146, 156) that have been temporarily paused while an internal fix is underway. At the time of writing, Rari’s internal and external security engineers partnered with DeFi service provider Compound Treasury to further investigate and neutralize the hack.
Providing further insights into the development, blockchain investigator PeckShield narrowed down the exploit to a reentrancy bug, which allows hackers to use a function and make external calls to another untrusted contract.
Quote.
The old reentrancy bug bites again on Compound forks w/ $80M loss! На этот раз он снова входит через exitMarket()!!! из, все Compound forks в EVM-совместимых цепочках. Свяжитесь с вашими аудиторами сейчас или свяжитесь с нами, если мы сможем вам помочь pic.twitter.com/M9JElTWMSd
— PeckShield Inc. (@peckshield) 30 апреля 2022 г.
Сориентированная на безопасность рейтинговая платформа CertiK сообщила Cointelegraph, что злоумышленник отправил 5400 Ether (ETH), или $15 298 900 на момент написания статьи, в Tornado Cash и все еще держит 22 672,97 ETH, или $64 245 245,43 на момент написания статьи, в своем кошельке. Атака вывела средства из пула Rari, в то время как пулы Fei (Tribe, Curve) остались незатронутыми.
В прошлом году 8 мая 2021 года Rari Capital стал жертвой дорогостоящего эксплойта, который был связан с интеграцией с Alpha Venture DAO, ранее Alpha Finance Lab. На момент написания статьи от команды Fei Protocol не было никаких официальных заявлений о результатах расследования.
Поскольку криптосообщество постоянно борется с хакерами, многие проекты и протоколы решили усилить меры безопасности. Так, компании Ronin Network и Sky Mavis объявили о планах по модернизации своих смарт-контрактов — после взлома на сумму 600 миллионов долларов в предыдущем месяце.
Мы составили посмертный отчет об эксплойте Ronin, который произошел 23 марта.
— Почему это произошло
— Что мы делаем для того, чтобы это никогда не повторилось.
— Обновление о возобновлении работы моста Ronin
— Ronin (@Ronin_Network) 27 апреля 2022 г.
Федеральное бюро расследований США (ФБР) приписало атаку северокорейской и спонсируемой государством хакерской группе Lazurus, а также сделало предупреждение другим криптовалютным и блокчейн-организациям.