- Se ofreció una recompensa de $ 10 millones junto con la restricción de "sin preguntas" por parte del protocolo Fei.
- Este error es mucho más antiguo que la propia solidez del lenguaje de programación.
El grupo Rari Fuse, que tiene una fusión de cinco meses con Fei Protocol, se enfrentó a un ataque de $ 80 millones por parte de los piratas informáticos. Esto salió a la luz cuando el Protocolo fei hizo el siguiente tweet el 04/30/2022.
Si bien, según Lei Wu, director técnico de Blocksec, 5400 ETH ya ha sido transferido a Torando Cash, una plataforma utilizada por los piratas informáticos para romper los enlaces en cadena entre el remitente y el receptor. Además, PeckSheild analizó este ataque y mencionó que se debe al defecto de reingreso en los contratos inteligentes, como se menciona en su tweet.
Peckshield tuiteó:
“¡El viejo error de reentrada vuelve a picar en las horquillas compuestas con una pérdida de $ 80 millones! ¡¡¡Esta vez, vuelve a entrar a través de exitMarket()!!! “
Ataques de reingreso
Este error es mucho más antiguo que la propia solidez del lenguaje de programación. Una explicación simple de lo que es, “cuando el contrato A llama al contrato B, y el contrato B llama al contrato A, cuando A aún no ha actualizado su estado y conduce a algún comportamiento dañino inesperado”, dada por Paweł Kurylowicz, Consultor principal de seguridad de TI.
Los principales casos de hacks de reingreso son hacks Uniswap/Lendf.Me de $25 millones, hack de CREAM FINANCE de $18.8 millones, hack de The BurgerSwap de $7.2 millones. Aunque se han empleado diferentes herramientas y métodos para la prevención de este ataque, todo se queda corto ya que se desarrollan basándose únicamente en las historias previas y estudiando esos patrones.
Las características inmutables también actúan como una desventaja aquí, ya que si se detecta una nueva ruta para el reingreso, los desarrolladores no pueden actualizar el contrato existente, sino que se debe crear un contrato inteligente completamente nuevo. El período de tiempo intermedio se convierte en una bendición para los piratas informáticos. Además, se ofreció una recompensa de $ 10 millones junto con la restricción de "sin preguntas" por parte del protocolo Fei al pirata informático.
Somos conscientes de un exploit en varios grupos de Rari Fuse. Hemos identificado la causa raíz y hemos detenido todos los préstamos para mitigar más daños.
Para el explotador, acepte una recompensa de $ 10 millones y no se le hagan preguntas si devuelve los fondos restantes del usuario.
— Protocolo Fei (@feiprotocol) Abril 30, 2022
Fuente: https://thenewscrypto.com/huge-re-entrancy-attack-80-million-stolen-from-rari-fuse-pool/