区块链安全公司Certik在今日发推指出,据Etherscan数据,从FEI Protocol窃取资金的攻击者,已通过混币平台Tornado Cash转移了2.1万枚以太币,价值约4,200万美元,目前该黑客地址仍有约1,570枚以太币未曾转移。
据Certik此前发布的分析报告,这名黑客是在4月30日发起攻击,在Rari Capital的Fuse池遭到攻击后,造成的损失估计达8000万美元,这种攻击的根本原因与可重入性安全漏洞有关,攻击者能够在借入资产的同时,撤回所有存放的抵押品。
Certik指出,具体来说,攻击者是利用闪电贷,借出了多个代币/WETH作为抵押品,并从池中借入资产,然而,由于协议代码没有遵循检查-生效-交互模式(check-effect-interactions)模式,结果攻击者可以调用exitMarket()函数来提取所有抵押品,原因是借贷记录没有得到适时更新。
Certik提醒,Fei协议遭漏洞攻击的根本原因,在于协议中缺乏可重入性保护机制,这是这类DeFi协议众所周知的问题之一,在这次攻击事件之前,类似的攻击手法已在其他协议中多次出现,但许多类似协议仍忽视此风险。
FEI Protocol官方当时公告,已注意到Rari Capital的Fuse池遭到多起漏洞攻击,并确认了遭攻击的根本原因,并暂停所有借贷,以减轻进一步的损失,FEI Protocol还向攻击者喊话,如果可以退还用户资金,将会获得1000万美元的赏金。
FEI Protocol是一个去中心化金融算法稳定币项目,FEI Protocol旨在通过部署协议控制价值(PCV,Protocol Controlled Value)和提供流动性即服务(LaaS),来帮助其他DAO在借贷和交易市场中实现深度流动性。
在2021年初刚推出时,在Uniswap V3上一度锁仓量超过26亿美元,一度使FEI成为仅次于DAI的第二大去中心化稳定币,现今协议TVL仅剩2.78亿美元。
黑客攻击金额破纪录
近年来,黑客攻击事故越来越频繁,Certik在本月初发布的数据更显示,今年截至4月底,借由漏洞攻击、骇客攻击、诈骗等手段,黑客总共已从用户手中窃取超过16亿美元的加密货币,超过了2020年和2021年的窃取资金总额。
CertiK的分析显示,3月份被盗资金总额最多,达7.192亿美元,比2020年全年被盗金额5.16亿美元还要多2亿多美元,3月的数字如此之高,主要是由于Ronin Bridge漏洞攻击者盗取了价值超过6亿美元的加密货币。
CertiK还指出,2022年4月创下了有记录以来闪电贷攻击损失金额的的最高记录,此类漏洞攻击导致的4月损失达到3.014亿美元,相比之下,2022年1月、2月和2022年3月的闪电贷攻击损失合计仅为670万美元。