FeiProtocol漏洞导致7935万美元被盗：死神来袭，重入攻击详解

2022年4月30日，北京时间，FeiProtocol宣布他们正在调查RariFuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失，并公开向攻击者提供1000万美元用以交换黑客所盗的用户资金，并保证不事后进行追问。

目前报告的总损失约为7935万美元，攻击者已向前迈进TornadoCash发送了5400个ETH(约1530万美元)，但他们的钱包里还有22，672.97个ETH(约6425万美元)。这次攻击已经耗尽Rari币池资金，Fei币池（Tribe，Curve）尚未受到影响。

一位Rari团队成员在项目中Discord回应此事并表示"Fuse一些借款人可能会受到影响"，以及"Fuse池中的PCV可能会有风险"。该Rari团队成员还证实，只能借的资产容易受到攻击，但情况有所改善。

初步报告显示，这个漏洞很可能是由https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001 这篇文章将在不久的将来CertiK官方账号发布中文版，请继续关注！

写在最后，被盗资产令近8000万美元FeiProtocol成为有史以来最大的重攻受害者。2022年4月1日，RariCapital在Medium发布了一份安全升级报告，称他们已经修复了一个和Fusepools安全问题。

该补丁可以防止函数所需的重新进入进行修复Compound已知漏洞。虽然这种方法可以保护许多系统功能，但它不正确exitMarket生效。当恶意攻击者收到全局重入锁时，即使处于激活状态ETH他们可以调用exitMarket。

FeiProtocol本月初，他们也遇到了一些问题。当时，他们本可以在漏洞发生之前阻止它，但情况并不令人满意：他们通过漏洞赏金计划找到了一个bug，在修复漏洞漏洞的同时关闭了rebateprogram。

截至目前，FeiProtocol该团队尚未正式宣布其调查结果。