Протокол децентрализованного финансирования Rari Capital стал очередной жертвой эксплойта. Платформа, которая создает оптимизированные хранилища доходности и пулы для выдачи кредитов, потеряла из-за хакерской атаки 2600 ETH или $11 млн.
По мнению белого хакера Уайтхэта Эмилиано Бонасси, злоумышленник использовал собственный смарт-контракт, который смог обмануть контракт протокола, заставив его думать, что у враждебного контракта есть все необходимые разрешения. Тем самым он манипулировал контрактом и с помощью флеш-кредитов вывел средства из пула Rari Capital Ethereum.
Разработчики отметили, что код смарт-контракта был проверен компанией Quantstamp, но она пропустила ошибку.
Хакер, похоже, рассматривал возможность отправки сообщения в транзакции команде Rari Capital, но потом передумал. Однако, поскольку он заплатил небольшую плату за газ, наблюдатели заметили закодированное сообщение до того, как транзакция была отменена.
The hacker has left a base64-encoded message saying
rari=REKT
alpha=ok # saved rari 6mhttps://t.co/WQpiPksDOX pic.twitter.com/ruMH8Wam5s— banteg (@bantg) May 8, 2021
Команда Rari Capital часто становилась объектом насмешек со стороны сообщества из-за молодости разработчиков. По некоторым данным, одному из них всего 15 лет. Сейчас злопыхатели снова попытались списать атаку на неопытность сотрудников. Однако у Rari Capital есть и сторонники, которые верят, что разработчики возьмут ответственность и смогут придумать план компенсации пострадавшим.