פלטפורמת ה-DeFi בשם Rari חוותה ניצול של חולשה במנגנון האבטחה שלה – מה שגרם לגניבת 80 מיליון דולר. Rari היא פלטפורמה המפעילה בריכות נזילות אשר נקראות פיוז (Fuse) שבהן כל משתמש שברשותו ארנק דיגיטלי יכול לתת או לקבל הלוואה של טוקנים מסוג ERC-20.
על פי חברת בקרת החוזים החכמים BlockSec, ההאקר ניצל חולשה בפלטפורמה של Fuse, אשר אפשרה לו לתקוף את החוזה החכם שלה באמצעות פעולה שנקראת Reentrancy. פעולה זו מייצרת תקשורת דו-כיוונית בין החוזה החכם של הפלטפורמה לבין חוזה חכם אחר שאינו שייך אליה והתקשורת הזו מאפשרת את ריקון בריכות הנזילות.
פרשיית TheDAO
חולשת הקוד שאפשרה את הפריצה הנוכחית ל-Rari היא אותה פרצה ששימשה לגניבת 60 מיליון דולר באחת הפרשיות המפורסמות ביותר בעולם המטבעות הדיגיטליים.
TheDAO היה פרויקט הנפקת טוקן ראשונית (ICO), אשר גייס מיליוני דולרים מקהילת אתריום לצורך יצירת ארגון אוטונומי מבוזר – ארגון אשר מקבל את החלטותיו באופן שאמור להיות דמוקרטי לחלוטין. ב-2016 נוצלה חולשה בקוד הפרויקט וכאמור נגנבו ממנו 60 מיליון דולר באמצעות פעולת Reentrancy. מקרה זה הוביל, בהמשך, לפיצול בקהילת אתריום וליצירת שני מטבעות בעקבות מזלוג קשיח (Hard Fork) – אתריום קלאסיק (ETC) ואתריום (ETH).
פרוטוקול Fei מציע כופר
בין הגורמים שמהם נגנב כסף במקרה הנוכחי נמצא גם פרוטוקול Fei, שהוא קבוצת פיתוח של המטבע הדיגיטלי היציב (סטייבלקוין) שנקרא Fei. ל-Fei שווי שוק של למעלה מ-550 מיליון דולר, אשר הופך אותו לסטייבלקוין ה-11 בגודלו בשוק המטבעות הדיגיטליים היציבים.
במאי 2021 נגנבה מ-Rari כמות של 2,600 מטבעות את'ר (ETH), שבאותו זמן היו שווים כ-11 מיליון דולר. בדצמבר 2021 נערך מיזוג בין פרוטוקול Fei ל-Rari, אשר הניב נזילות של 2 מיליארד דולר. במסגרת תנאי המיזוג, פרוטוקול Fei לקח על עצמו חלק מההתחייבויות של Rari, שנוצרו כתוצאה מאותה גניבה. זוהי ככל הנראה הסיבה לכך שבפוסט בטוויטר פרוטוקול Fei הכיר בניצול הפרצה הנוכחית וביקש מההאקר להחזיר את הכספים בתמורה לכופר של 10 מיליון דולר.
הפריצות ב-DeFi ממשיכות
לפני כשבועיים כתבנו כאן על 182 מיליון דולר שנלקחו עקב פרצת אבטחה בפרוטוקול Beanstalk. מקרה זה הצטרף לשורה של פריצות וניצולי פרוטוקולי כלכלה מבוזרת (DeFi), אשר בוצעו בתקופה האחרונה, כמו גניבת מעל 600 מליון דולר במטבעות דיגיטליים מרשת Ronin וגניבת 28 מליון דולר מ-Cashio, פרויקט המטבע היציב המבוסס על רשת סולאנה, אשר התרחשו במרץ השנה.
בשנת 2021 נגנבו מעל 8 מיליארד דולר במטבעות דיגיטליים מפרוטוקולים בתחום ה-DeFi, בורסות ונותני שירותים ריכוזיים באמצעות סוגים שונים של הונאות ופריצות.
ניצול החולשה הנוכחית מ-Rari והמקרים הקודמים השנה מסמנים את שנת 2022 כשנה שעלולה להביא עמה מספרים דומים ואף סוגים חדשים של מטרות לפריצה וניצול “חורים” בקוד.