Протокол Rari Capital - REKT

Молодая кровь и новые деньги.

После небольшого перерыва не обед настала очередь Rari Capital попасть под раздачу rekt.

Юный агрегатор доходности пал жертвой серийного хакера, судя по тому, что тот же кошелек, который атаковал Value DeFi всего несколько часов назад, обратил свой взор на пул ETH Rari Capital, забрав эквивалент $10 миллионов в ETH.

Rari Capital привлек к себе внимание из-за молодого возраста своих разработчиков. В сообществе возник спор о том, так ли важен возраст, если DeFi-индустрии в целом всего 2 - 3 года от роду.

Несмотря на то, что некоторые могли бы сказать, что они “сами напросились”, нам не доставляет удовольствия узнавать, что люди потеряли свои деньги.

В системном дизайне DeFi нет разработчиков с 10-летним опытом работы. Это меритократия, в которой все зависит от мастерства и зрелости человека, а не от длины его резюме.

Каждая атака преподает над ценный урок, и мы должны изучать использованные техники, чтобы построить более безопасное будущее.

Здесь мы наблюдаем действия кросс-чейнового киллера, который использовал кровавые деньги Value DeFi, чтобы организовать свою атаку на Rari Capital.

5,346 BNB ($3.8M) были украдены и обменены на 1К ETH.

Действия атакующего в BSC разворачивались следующим образом:

1: Создал фальшивый токен и поставил его в пару с BNB в пуле на PancakeSwap, чтобы воспользоваться Alpaca Finance.

2: Взаимодействовал с Alpaca Finance, где в момент вызова функции approve() для фальшивого токена он вызывал payload, что позволило ему использовать Vsafe через Codex farm, чтобы получить vSafeWBNB.

3: Конвертировал vSafeWBNB в WBNB.

4: Сделал трансфер WBNB в Ethereum через Anyswap.

Повторил операции дважды.

Атака на Rari проходила следующим образом:

1: Атакующий создал фальшивый токен и пул для него на SushiSwap.

2: Взаимодействовал с Alpha Homora, где также был вызван payload, таким образом атакующий смог получить ibETH в контракте пула Rari ETH.

3: Конвертировал ibETH в ETH в пуле Rari ETH.

В результате, 2.9k ETH ($11.1M) были украдены, и еще 1.7k ETH были в опасности до того момента, когда команда Rari начала действовать.

Общая прибыль от двух атак составила $15M в ETH.

Источник: frankresearcher

Токен управления Rari, $RGT, резко упал в цене после атаки.

Хакер решил высказать свое мнение об атакованных протоколах, но затем, видимо, передумал, потому как попытался отменить транзакцию. Но он установил очень низкое значение для газа, поэтому отмена произошла только через двадцать минут, дав всем возможность увидеть оставленное сообщение.

Источник: banteg & dudesahn

Техника этой атаки была похожа на ту, что использовалась в Evil Pickle Jar, и похоже, что она станет еще более распространенной в будущем.

Несмотря на то, что были использованы различные протоколы, был применен один и тот же механизм эксплойта.

Alpaca/Alpha, vSafe/Rari, PancakeSwap/SushiSwap - взаимодействие между ними было выстроено таким образом, что эксплоит было легко повторить в другой цепи.

Взаимодействие между протоколами DeFi растет, а размытые линии делают пути побега еще более доступными.

В эпоху ревущих двадцатых беспощадные получают награду, и любое преследование кажется маловероятным.

Когда так много других преступлений выходят на поверхность в крипто-сфере, кто будет преследовать кого-то за эксплуатацию контрактов, где так много людей остаются анонимами?

REKT представляет собой общественную площадку для анонимных авторов. Мы не несём ответственность за выражаемые точки зрения или контент на этом веб-сайте.

Пожертвование (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

Дисклеймер:

REKT не несет никакой ответственности за любое содержание, размещенное на нашем Веб-сайте или имеющее какое-либо отношение к оказываемым нами Услугам, независимо от того, было ли оно опубликовано или создано Анонимным Автором нашего Веб-сайта или REKT. Не смотря на то, что мы устанавливаем правила поведения и нормы публикаций для Анонимных Авторов, мы не контролируем и не несем ответственность за содержание публикаций Анонимных Авторов, а также за то, чем делятся и что передают Авторы с помощью нашего Сайта и наших Сервисов, и не несем ответственность за любое оскорбительное, неуместное, непристойное, незаконное или спорное содержание, с которым вы можете столкнуться на нашем Веб-сайте и на наших Сервисах. REKT не несет ответственность за поведение, будь то онлайн или офлайн, любого пользователя нашего Веб-сайта или наших Сервисов.