Rari Capital стала жертвой уязвимости на сумму 11 миллионов долларов

После атаки стоимостью 11 миллионов долларов ранее сегодня Rari Capital является последним протоколом децентрализованного финансирования (DeFi), который стал жертвой дорогостоящего эксплойта

Платформа, которая строит оптимизированные хранилища доходности и пулы кредитования бутиков, подтвердила атаку в твиттере и сообщила, что в ближайшее время будет проведено полное вскрытие:

В ETHPool Rari Capital произошел эксплойт, связанный с нашей интеграцией @AlphaFinanceLab.

В ответ балансировщик удалил все средства из Альфа-банка.

В настоящее время мы расследуем ситуацию, и полный отчет будет представлен, как только все будет оценено.

— Rari Capital (@RariCapital) 8 мая 2021 года

По словам хакера whitehat Эмилиано Бонасси, эксплойт, по-видимому, является эксплойтом "злого контракта", в котором злоумышленник "обманывает" контракт, заставляя его думать, что враждебный контракт должен иметь доступ или разрешения. Альфа-Финанс объявила в Твиттере, что взлом был связан с процентным хранилищем ibETH Тари, но что никакие альфа-фонды не подвергались риску:

Средства в БЕЗОПАСНОСТИ на #AlphaHomora.

Мы уведомлены о том, что @RariCapital пострадал от эксплойта, который был вызван неправильным предположением при использовании контракта HomoraBank, поскольку они создавали пул ibETH на своей платформе.#Alpha team здесь, чтобы помочь.

— Alpha Finance Lab (@AlphaFinanceLab) 8 мая 2021 года

Кошелек хакера в настоящее время содержит 4 005 ETH на сумму более 15 000 000 долларов, но часть этих средств, по-видимому, была получена от отдельного эксплойта.

Как и многие до него, злоумышленник, похоже, рассматривал возможность отправки сообщения команде Rari, но отменил транзакцию. Однако, поскольку он заплатил низкую плату за газ, наблюдатели смогли заметить сообщение как ожидающую транзакцию, прежде чем она была отменена:

Хакер оставил сообщение в кодировке base64, в котором говорится:

rari=REKT
rari=RECTANGULARalpha=ok # сохранено rari 6mhttps://t.co/WQpiPksDOX pic.Twitter.com/ruMH8Wam5s

— banteg (@bantg) 8 мая 2021 года

Принимая прерванный круг победы, сообщение атакующего также, по-видимому, подразумевало, что команда Alpha Homura предотвратила утечку дополнительных 6 миллионов долларов.

Уже сейчас пользователи заходят в Twitter, чтобы порассуждать о том, какую форму может принять компенсационный план команды. Компенсация пользователям, пострадавшим от взломов и эксплойтов, становится все более распространенной практикой, в последнее время EasyFi раскрывает свой план компенсации после разрушительного эксплойта в размере 60 миллионов долларов.

Команда Rari Capital часто становилась объектом как поддержки сообщества, так и насмешек. Команда особенно молода, и, как сообщается, одному разработчику 15 лет. Один из их ключевых инвесторов, пользователь Twitter Tetranode, пошутил в недавнем подкасте Up Only, что, несмотря на то, что он всего лишь среднего возраста, команда часто и игриво насмехается над ним как над "бумером"."

Таким образом, в то время как некоторые критиковали команду и пытались обвинить в атаке юношескую неопытность, другие отметили, что методы обеспечения безопасности в DeFi постоянно развиваются и быстро выразили поддержку команде, включая технического директора SushiSwap Джозефа Делонга: