死神来了之再入进攻，Fei Protocol系统漏洞造成7935万美金失窃事情剖析

中国北京时间2022年2022年4月30日，Fei Protocol公布她们正在调查Rari Fuse鸟鸣涧的一个系统漏洞。现阶段该新项目早已中止了全部贷款以降低进一步的损害，并公布向网络攻击给予1000万美金用于互换网络黑客所盗的客户资产，并确保不过后开展询问。

现阶段汇报的总损害约为7935锦怡元，网络攻击早已向Tornado Cash推送了5400个ETH（约1530万美金），但是她们的钱夹里仍拥有22,672.97个 ETH（约6425万美金）。此次进攻早已耗光了Rari币池的资产，Fei币池（Tribe，Curve）尚未遭受危害。

一位Rari精英团队组员在新项目Discord中回复了这事，并表明 "Fuse中的一些借款人很有可能遭受危害"，及其 "Fuse池中的PCV很有可能会出现风险性"。该Rari精英团队组员还确认，仅可借款的财产易受攻击，但是现阶段该状况已获得改进。

基本结果报告显示这一系统漏洞很可能是由于重入问题造成的，这也是智能化财务审计中最多见的不正确，也是众多系统漏洞造成的元凶——例如2016年臭名远扬的The DAO网络黑客事情和近些年被害的几条关键协议书↓

○ 2020年4月Uniswap/Lendf.Me被网络黑客运用重入系统漏洞开展进攻，受盗财产500万美金，

○ 2021年5月BurgerSwap因虚报合同及一个重入性的系统漏洞被网络黑客故意运用，受盗财产720万美金。

○ 2021年8月SURGEBNB受盗，网络黑客好像是运用了根据再入的价钱控制来实现进攻，此次事情受盗财产400万美金。

○ 2021年8月CREAM FINANCE的再入性系统漏洞可让网络黑客开展二次借款，受盗财产1880万美金。

○ 2021年9月Siren协议书遭到进攻，受盗财产350万美金——其AMM池被再入式进攻。

CertiK这周在medium上推送了一篇有关再入式进攻的文章内容：https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001本文最近将于CertiK官方网公众平台公布汉化版，请小伙伴们不断关心！

写在最终

如此来看，接近8000万美金的受盗财产令Fei Protocol变成迄今为止经营规模较大的再入式进攻受害人。2022年4月1日，Rari Capital在Medium上推送了一份安全性更新汇报，称她们早已修复了一个与Fuse pools相关的安全隐患。

这一补丁包可阻拦函数公式需要的再入，为此修补了Compound的己知系统漏洞。虽然这一方式可维护很多系统功能，但尚未能对exitMarket()起效。即使全局性再入锁处在激活，当故意网络攻击接到ETH时，她们就可启用exitMarket()。

Fei Protocol在本月月初也曾碰到一些问题，那时候她们本可以在系统漏洞产生前阻拦但状况并不是这样不尽人意：她们根据系统漏洞悬赏金方案发觉了一个bug，造成它们在漏洞修复的与此同时关上了rebate program。

目前为止，Fei Protocol精英团队都还没官方宣布她们的调查报告。