1,100万ドルのハッキングの後、ラリキャピタルチームは失われた資金を返済します

5月8日のRariCapitalエクスプロイトのマッピング。出典:BlockSecTeam。 海外仮想通貨ニュース

原文(英)1,100万ドルのハッキングの後、ラリキャピタルチームは失われた資金を返済します

2021-05-10 23:42:19

重要なポイント

  • このハッキングでは、価格操作攻撃を使用して、RariCapitalのスマートコントラクトをだましてAlphaのibETHトークンの価格を誤って判断させました。
  • チームは他のイーサリアム開発者と協力して脆弱性を修正し、コミュニティの質問に積極的に回答しています。
  • コミュニティコール中に、Rariのチームは、この攻撃で資金を失ったユーザーに払い戻しを行うために、トークンの割り当てを前倒ししていると発表しました。

この記事を共有する

週末に1100万ドルのハッキングが発生した後、Rariのネイティブトークンは18ドルから10ドルにクラッシュしました。 しかし、プロトコルの背後にあるチームは、犠牲者を完全にするために迅速に動きました。

ラリは週末のハックに苦しみ、1100万ドルを落とす

Rari Capitalは、最適化された利回りボールトを構築し、ニッチトークンでの貸し借りを提供するDeFiプロトコルです。 最近、チームは、有利なイーサリアムトークンであるAlphaFinanceのibETHトークンを統合しました。 5月8日、AlphaFinanceのibETHプールへのETHの預け入れを担当するスマートコントラクトがハッキングされました。

このエクスプロイトはAlphaファンドを脅かしませんでしたが、Rari ETHプールの流動性プロバイダー(LP)は合計2,600 ETHを失い、合計で1,000万ドルを超えました。 ハッカーは、dYdXからのフラッシュローンを使用して、RariのETHプールの価値を人為的に膨らませました。 次に、ハッカーがアクセスしてはならない機能を使用して、ETHをプールから撤回しました。

この手法は、間接的な価格操作攻撃と呼ばれます。 攻撃者がフラッシュローンを使用してトークンの価格を操作し、短時間の間に人為的に価格を膨らませることに依存しています。 Rari ETHプールのトークンの価格は、プロトコルが保持するibETHの値にリンクされているため、ibETHの価格を操作すると、RariのETHプールトークンにも影響します。

5月8日のRariCapitalエクスプロイトのマッピング。出典:BlockSecTeam。
5月8日のラリキャピタルエクスプロイトのマッピング。出典: BlockSecTeam

攻撃は、攻撃者によってアクティブ化されるibETHコントラクトの「作業」機能に依存していました。これはRariチームによるものです。 可能であることを知りませんでした。 契約を監査したQuantstampも、エクスプロイトに気づいていませんでした。 Rari Capitalは、将来的には、契約を統合した元のチームとより緊密に連携し、統合のレビューを依頼すると述べました。

Alpha Financeがこのエクスプロイトのせいにすることはできませんが、Rariの統合のセキュリティを確認していれば、脆弱性を発見できた可能性があります。 ハッカーは保留中のトランザクションにメッセージを残し、Alphaの迅速な対応により、ハッキング時に最大600万ドル相当のユーザーの資金が節約されたと主張しました。 アルファの資金は盗まれませんでした。

https://twitter.com/bantg/status/1391054251388964867

アルファファイナンスはそれ自体でした 犠牲者 ハッカーが統合に脆弱性を発見したときの同様のエクスプロイトの CREAMのアイアンバンク。 その後、攻撃者は、同様のフラッシュローンベースの価格操作戦術を使用して、3,750万ドル以上の資金を奪いました。 ザ・ ハックにリンクされたアカウント も担当しました 最近の攻撃 BSCプロジェクトのValueDeFiで。

チームは、上記のバグの修正だけではありません。 すべてのプロトコル寄稿者は、ハッキングの影響を受けた人に払い戻しを行うために、RGTでのトークンの割り当てを放棄することを決定しました。 2,000,000 RGT(現在2,000万ドル以上の価値がある)がDAOに送られ、失われた資金の払い戻しと、ラリが攻撃と戦うのを助けた人々への報酬の両方を担当しています。

免責事項:著者は、執筆時点でBTC、ETH、およびその他のいくつかの暗号通貨を保有していました。

この記事を共有する




元ソース

続き・詳細はこちら

1,100万ドルのハッキングの後、ラリキャピタルチームは失われた資金を返済します

タイトルとURLをコピーしました