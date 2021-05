Compartir

L’agrégateur de performances basé sur Ethereum (ETH), Rari Capital, a été critiqué ce week-end par un groupe de mauvais acteurs. En conséquence, 2600 de cette crypto-monnaie ont été volés au groupe Rari Capital Ethereum, comme le confirme un rapport post-mortem publié par les principaux contributeurs.

L’attaque s’est produite vers 13 h 48 GMT, le 8 mai, avec une série de transactions d’une durée de près d’une heure. Le produit de Rari Capital dépose l’ETH dans le jeton portant intérêt ibETH d’Alpha Homoras dans le cadre de sa stratégie.

Le contrat de groupe de protocole fonctionne avec ibETH.totalETH () / ibETH.totalSupply (), qui est utilisé pour calculer le taux de change pour la paire ibETH / ETH. Un rapport distinct d’Alpha Finance Labs indique que cette opération peut «conduire à des hypothèses incorrectes». Le rapport de Rari Capital a déclaré ce qui suit:

Selon Alpha Finance, `ibETH.totalETH ()` peut être manipulé dans la fonction `ibETH.work`, et un utilisateur de` ibETH.work` peut appeler tout contrat de son choix dans` ibETH.work`, y compris Rari Capital Fonctions de dépôt et de retrait d’Ethereum Pool.

Sur Ethereum, l’attaque a commencé lorsque de mauvais acteurs ont contracté un prêt flash du protocole dYdX pour environ 59000 dans cette crypto-monnaie. Les fonds se trouvaient dans le pool basé sur Ethereum de Rari avec le taux de conversion correct pour la paire de négociation susmentionnée.

Les attaquants ont ensuite utilisé la fonction «job» qui leur a permis de déchaîner leur offensive en brouillant un contrat fToken «malveillant». Cela a permis aux pirates de gonfler artificiellement leur taux d’ibETH / ETH.

À 14 h 29 + UTC, la racine possible des exploits a été découverte. À 14 h 34 + UTC, les actions sur Alpha Homora se sont arrêtées. Les pertes représentaient environ 60% de tous les fonds des utilisateurs dans ce pool basé sur Ethereum. Cependant, seuls les fonds de Rari ont été perdus, comme le prétend le rapport Alpha Finance. Rari Capital a déclaré:

À la fin de «ibETH.work», la valeur de «ibETH.totalETH ()» revient à sa valeur réelle, ce qui conduit à des soldes de réserve Ethereum du capital de Rari plus bas qu’avant l’attaque, ce qui fait que l’attaquant se retire de ce qu’il a déposé tout en leur équilibre est artificiellement gonflé.

Fonds ETH volés à Binance Smart Chain

Le chercheur Igor Igamberdiev a révélé que l’exploit était beaucoup plus complexe que d’habitude. Selon un rapport séparé d’Igamberdiev, l’attaque de Rari Capital est le premier exploit inter-chaînes dans l’espace crypto.

Le chercheur estime que les pirates informatiques ont d’abord pris des fonds d’un agrégateur de performances Binance Smart Chain appelé Value DeFi. Ce protocole subit de multiples attaques sur ses produits, VSafe et VSwap, et les escrocs ont pillé 5 346 BNB qui se sont immédiatement transformés en 1 000 ETH.

Source: Igor Igamberdiev

Sur Binance Smart Chain, les pirates ont également créé un faux jeton qui a été fusionné sur l’échange PancakeSwap. Cela leur a permis d’interagir avec le protocole Alpaca Finance. Igamberdiev a déclaré:

Interagissez avec Alpaca Finance, où lorsque approve () est appelé pour obtenir un faux jeton, une charge utile est appelée, permettant à un attaquant d’utiliser VSafe via la ferme Codex pour obtenir vSafeWBNB. Convertissez vSafeWBNB en WBNB. Tout le WBNB a été transféré à Ethereum via Anyswap.

Pour lutter contre ce type d’attaque à l’avenir, Rari Capital a pris des mesures de sécurité supplémentaires, telles que la révision de son intégration de protocole, la vérification de tous les invariants pour détecter d’éventuelles failles, etc. Cependant, Igamberdiev a conclu ce qui suit:

L’interopérabilité entre les protocoles DeFi est de plus en plus complexe, ouvrant de nouveaux vecteurs d’attaque. Cette attaque était similaire en difficulté au Pickle Evil Jar et sera encore plus répandue à l’avenir.

Ethereum se négocie à 3918 $ avec un bénéfice de 2,1% sur le graphique quotidien et un bénéfice de 31,9% sur le graphique hebdomadaire.

ETH avec une dynamique haussière sur le graphique journalier. Source: ETHUSD Tradingview