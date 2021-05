Au cours du week-end, un autre protocole DeFi a été exploité pour environ 2600 ETH, d’une valeur de plus de 10 millions de dollars.

Rari Capital, dont le premier produit vise à offrir le rendement le plus élevé, a été attaqué samedi. Les fonds ont été extraits de son pool Ethereum avant que l’attaquant ne soit arrêté en suspendant les contrats – la perte s’élevant à 60% des fonds de tous les utilisateurs du pool.

L’équipe a partagé dans son post mortem que son Ethereum Pool dépose l’ETH dans le jeton ibETH d’Alpha Finance en tant que stratégie de génération de rendement.

L’attaquant a fait un prêt flash ETH de dYdX, déposer cet ETH dans le pool, manipuler la valeur de `ibETH.totalETH ()` en le poussant artificiellement à un niveau élevé et retirer plus d’ETH du pool.

Selon Alpha Finance, `ibETH.totalETH ()` est manipulable dans la fonction `ibETH.work`, et un utilisateur de` ibETH.work` peut appeler n’importe quel contrat qu’il veut dans `ibETH.work,` y compris Rari Capital Fonctions de dépôt et de retrait d’Ethereum Pool, mais les contributeurs de Rari Capital n’en étaient pas au courant.

Pour éviter de tels problèmes à l’avenir, Rari Capital listera les protocoles qu’elle intègre pour revoir leurs intégrations. En outre, évitez les dépôts et les retraits dans le même bloc ou la même période jusqu’à une heure pour atténuer la vitesse des attaques potentielles.

En outre, l’équipe vérifiera les invariants qui ne devraient pas avoir besoin d’être vérifiés, examinera en interne les protocoles avec lesquels elle cherche à s’intégrer pour les vecteurs d’attaque et recrutera plus de cabinets d’audit de premier plan autres que Quantstamp et Omniscia.

Le projet a déjà un autre audit prévu avec OpenZeppelin.

Tard dimanche, l’équipe a annoncé que RariCapital deviendrait une organisation autonome décentralisée (DAO) et que l’attribution de 2 millions de dollars RGT de l’équipe lui reviendrait.

En tant que tel, «Il n’y a plus d’équipe Rari Capital. Il n’y a que des contributeurs au protocole », Jai Bhavnani de la capitale Rari.

«La décentralisation était inévitable, le hack ne faisait qu’accélérer l’évolution», a déclaré Tetranode, un investisseur du projet.

Dans l’étape suivante, l’équipe se concentre sur les propositions de remboursement qui passeront par le processus de vote.

