LOOKS:Rari Capital遭受重入攻擊，損失超8000萬美元

安全實驗室監測到以太坊上feiprotocol和RariCapital協議中的多個池子遭到重入攻擊，導致損失超8000萬美元。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件并分析。

基礎信息

眾所周知，compound項目的代碼本就存在一些安全問題，而feiprotocol和RariCapital協議延用了compound的代碼庫，同時在doTransferOut()方法的實現中使用了存在重入的寫法，導致了事件的發生。

NFT市場LooksRare聚合器第一階段已上線:金色財經報道，NFT 市場 LooksRare 聚合器第一階段現已上線，用戶可以將 NFT 添加到購物車，從 LooksRare 與 OpenSea 批量購買，并從 OpenSea 查看交易活動而無需離開網站。此后，用戶可以使用 LooksRare V2 協議進行批量購買。未來，LooksRare 聚合器將支持更多 NFT 市場的購買與批量購買，并支持查看其他 NFT 市場活動，支持其他市場的全球實時地板價與特征數據。目前，LooksRare 聚合器智能合約已經過 Peckshield 正式安全審計與 Code4rena 審計競賽。[2023/3/23 13:20:30]

因此次事件中的多次攻擊方式相同，本文僅對一次攻擊進行分析。

LooksRare：官方推特賬戶在提交twitter blue服務申請之后暫時凍結:1月10日消息，據LooksRare中文區官方回復，官方推特賬戶在提交twitter blue服務申請之后暫時凍結，已向推特反應相關問題。[2023/1/10 11:03:49]

攻擊者地址：0x6162759edad730152f0df8115c698a42e666157f

Rari Fuse上Vesper Lend借貸池遭攻擊，攻擊者操縱VUSD價格以獲利300萬美元:11月3日消息，據官方消息，DeFi協議RariFuse上的23號借貸池VesperLendbeta遭遇攻擊，攻擊者大量消耗Uniswapv3中VUSD的流動性，并自行創建VUSD/USDC流動性池以操縱預言機VUSD喂價功能，抬高VUSD價格后大量借出VesperLend上資產，最終獲利300萬美元。

目前，Vesper官方已暫停在RariFuse平臺借用VUSD和vVSP的功能，并與Rari、Yearn和Uniswap密切合作，調查此次攻擊的全面影響，將于后續更新調查結果及應對舉措。（medium）[2021/11/3 6:28:50]

攻擊合約：0x32075bad9050d4767018084f0cb87b3182d36c45

tx：0xadbe5cf9269a001d50990d0c29075b402bcc3a0b0f3258821881621b787b35c6

CEtherDelegator合約：0xfbD8Aaf46Ab3C2732FA930e5B343cd67cEA5054C

其次，合約在對用戶進行借貸放款時，并未實行檢查-生效-交互的模式，更新抵押資產價值在放款之后，使得攻擊者能夠在借款之后進行函數回調；

最為關鍵的一點是，攻擊者在借款后調用了exitMarket()函數退出借款的市場，之后對抵押品進行贖回，由于此時攻擊者已退出市場，因而協議不會計算這筆借款，所以能夠成功贖回抵押品。

ETH，隨后觸發重入；

3、調用exitMarket()函數退出借款的市場，并取出抵押品；

4、歸還閃電貸；

5、成功賴賬套利，免費借出ETH；

6、最后，攻擊者重復攻擊手法對協議中的池子進行攻擊，成功套利約8000萬美元。

總結

本次攻擊事件核心是協議引用了存在重入漏洞的compound代碼庫，導致合約發生重入攻擊。

建議項目方在編寫項目時，應始終使用檢查-生效-交互的模式，并在合約中應用重入鎖，在發送以太幣時一定要限制gas或者使用thransfer()，一定不要使用存在安全問題的項目代碼。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：RARESRAOKSLOOKSsorare幣價格looksrare幣更新looksrare幣最新消息LooksRare

酷幣下載