RariCapital是遭受恶意行为者侵害的最新分布式金融(DeFi)协议,该协议在一次周末攻击中损失了超过1000万美元。5月9日Rari发表了关于这次攻击的事后验尸,解释了攻击者如何设法耗尽其2,600ETH的以太坊池。该报告证实,损失相当于RariCapital以太坊资产池中所有用户资金的60%,当时价值约为1000万美元。
Rari是一个自动化的产量农业平台,可重新平衡资金池和资金,以在整个DeFi生态系统中提供最佳的产量策略。截至5月1日,DeFiLlama报告的TVL为9000万美元,但根据Rari本身的说法,5月10日的TVL下降了800万美元。该入侵发生在5月8日,是一连串的DeFi攻击中的最新一次,其中包括4月20日的EasyFi攻击。
1.胜过DeFi智能合约
验尸报告说明,Rari使用AlphaFinance的ibETH代币作为其ETH存款产生收益的策略之一。根据AlphaFinance的说法,用于计算池中总金额的功能是从智能合约内操纵的,以调用Rari的ETH池合约中的其他功能。这使攻击者能够存入从dYdX快速贷款中获得的ETH,并反复提取比池中实际多的钱。
RariCapital以太坊池的余额通过该漏洞被人为夸大,攻击者可以利用赃物掠夺并耗尽池。Rari评论说该代码已经过审核,但是此漏洞被忽略了。
2.来自开发商基金的补偿
在5月10日的更新中,RariCapital创始人JaiBhavnani表示,有计划使用一些开发商资金来补偿受害者。约有200万Rari治理令牌(RGT)被分配给协议贡献者和生态系统扩展。但是经过表决后决定将其转入赔偿基金。