Le pirate informatique Rari Fuze a offert une prime de 10 millions de dollars au protocole Fei pour restituer un butin de 80 millions de dollars

La plate-forme de financement décentralisé (DeFi) Fei Protocol a offert une prime de 10 millions de dollars aux pirates informatiques dans le but de négocier et de récupérer une grande partie des fonds volés de divers pools Rari Fuse d’une valeur de 79 348 385,61 dollars, soit près de 80 millions de dollars.

Le 30 avril, Fei Protocol a informé ses investisseurs d’un exploit dans de nombreux pools Rari Capital Fuse tout en demandant aux pirates de restituer les fonds volés contre une prime de 10 millions de dollars et un engagement « sans poser de questions ».

Bien que les pertes exactes de l’exploit n’aient pas été officiellement publiées, le système de surveillance de l’enquêteur DeFi BlockSec détecté une perte de plus de 80 millions de dollars – citant la cause première comme une vulnérabilité de réentrance typique. Alors que les bogues de réentrance ont été le principal coupable de nombreux exploits au sein de l’écosystème DeFi, le butin de 80 millions de dollars fait du protocole Fei l’un des plus grands hacks de réentrance de tous les temps.

Flux d’invocation. Source : BlockSec

Après des enquêtes plus approfondies, le développeur de Rari, Jack Longarzo, a révélé un total de six pools vulnérables (8, 18, 27, 127, 144, 146, 156) qui ont été temporairement suspendus pendant qu’un correctif interne est en cours. Au moment de la rédaction de cet article, les ingénieurs de sécurité internes et externes de Rari se sont associés au fournisseur de services DeFi Compound Treasury pour enquêter plus avant et neutraliser le piratage.

Fournissant de plus amples informations sur le développement, l’enquêteur de la blockchain PeckShield a réduit l’exploit à un bogue de réentrance, qui permet aux pirates d’utiliser une fonction et d’effectuer des appels externes vers un autre contrat non fiable.

La plate-forme de classement axée sur la sécurité CertiK a déclaré à Cointelegraph que l’attaquant avait envoyé 5400 Ether (ETH) (~ 15 298 900 $) à Tornado Cash et détient toujours 64 245 245,43 $ (22 672,97 ETH) dans son portefeuille. L’attaque a drainé des fonds du pool Rari tandis que les pools Fei (Tribu, Courbe) ne sont pas affectés.

L’année dernière, le 8 mai 2021, Rari Capital a été victime d’un exploit coûteux lié à une intégration avec Alpha Venture DAO (anciennement Alpha Finance Lab). Au moment de la rédaction du rapport, il n’y a eu aucune annonce officielle de l’équipe du protocole Fei sur les résultats de leur enquête.

Lié: Prévoyez des primes de bugs de 1 million de dollars et doublez les nœuds à la suite du piratage de Ronin de 600 millions de dollars

Alors que la communauté crypto traverse une bataille en constante évolution contre les pirates, de nombreux projets et protocoles ont décidé de renforcer leurs mesures de sécurité. Le 28 avril, le réseau Ronin et Sky Mavis ont révélé leur intention de mettre à niveau leurs contrats intelligents, après le piratage de 600 millions de dollars du mois précédent.

Le Federal Bureau of Investigation (FBI) a attribué l’attaque au groupe de piratage basé en Corée du Nord et parrainé par l’État Lazurus, car il a lancé un avertissement à d’autres organisations de crypto et de blockchain.