算法穩定幣協議 FEI Protocol 在上月遭駭,損失 8000 萬美元,區塊鏈安全公司 Certik 今日更新駭客動態指出,攻擊者已通過混幣平台 Tornado Cash 轉移了 2.1 萬顆以太幣,價值約 4200 萬美元。此前,FEI Protocol 曾向攻擊者喊話,如果可以退還用戶資金,將會獲得 1000 萬美元的賞金。
(前情提要:明星算法穩定幣 FEI 上線陷爭議:「出售價值為負」,緊急關閉燒毀獎勵機制)
區塊鏈安全公司 Certik 在今日發推指出數據,從 FEI Protocol 竊取資金的攻擊者,已通過混幣平台 Tornado Cash 轉移了 2.1 萬顆以太幣,價值約 4,200 萬美元,目前該駭客地址仍有約 1,570 顆以太幣未曾轉移。
Update on FEI Protocol attacker funds; a movement of 21000 ETH (~$42M USD) to @TornadoCash from the hacker that stole funds from @feiprotocol. Approximately 1,570 ETH remains.
Wallet address: eth – 0x6162759edad730152f0df8115c698a42e666157f
Stay safe! pic.twitter.com/n2F37YnuDw
— CertiK Alert (@CertiKAlert) May 23, 2022
據 Certik 此前發布的分析報告,這名駭客是在 4 月 30 日發起攻擊,在 Rari Capital 的 Fuse 池遭到攻擊後,造成的損失估計達 8000 萬美元,這種攻擊的根本原因與可重入性安全漏洞有關,攻擊者能夠在借入資產的同時,撤回所有存放的抵押品。
Certik 指出,具體來說,攻擊者是利用閃電貸,借出了多個代幣/WETH 作為抵押品,並從池中借入資產,然而,由於協議代碼沒有遵循檢查-生效-交互模式(check-effect-interactions)模式,結果攻擊者可以調用 exitMarket () 函數來提取所有抵押品,原因是借貸記錄沒有得到適時更新。
Certik 提醒,Fei 協議遭漏洞攻擊的根本原因,在於協議中缺乏可重入性保護機制,這是這類 DeFi 協議眾所周知的問題之一,在這次攻擊事件之前,類似的攻擊手法已在其他協議中多次出現,但許多類似協議仍忽視此風險。
FEI Protocol 官方當時公告
FEI Protocol 是一個去中心化金融算法穩定幣項目,FEI Protocol 旨在通過部署「協議控制價值」(PCV,Protocol Controlled Value) 和提供流動性即服務(LaaS),來幫助其他 DAO 在借貸和交易市場中實現深度流動性。
在 2021 年初剛推出時,在 Uniswap V3 上一度鎖倉量超過 26 億美元,一度使 FEI 成為僅次於 DAI 的第二大去中心化穩定幣,現今協議 TVL 僅剩 2.78 億美元。
駭客攻擊金額破紀錄
近年來,駭客攻擊事故越來越頻繁,Certik 在本月初發布的數據更顯示,今年截至 4 月底,藉由漏洞攻擊、駭客攻擊、詐騙等手段,駭客總共已從用戶手中竊取超過 16 億美元的加密貨幣,超過了 2020 年和 2021 年的竊取資金總額。
CertiK 的分析顯示,3 月份被盜資金總額最多,達 7.192 億美元,比 2020 年全年被盜金額 5.16 億美元還要多 2 億多美元, 3 月的數字如此之高,主要是由於 Ronin Bridge 漏洞攻擊者盜取
CertiK 還指出,2022 年 4 月創下了有記錄以來閃電貸攻擊損失金額的的最高記錄,此類漏洞攻擊導致的 4 月損失達到 3.014 億美元,相比之下,2022 年 1 月、2 月和 2022 年 3 月的閃電貸攻擊損失合計僅為 670 萬美元。
