Rari Capital zwróci środki ofiarom ataku hakerskiego

Protokół DeFi Rari Capital zamierza zwrócić pieniądze swoim użytkownikom po tym, jak hakerowi udało się uzyskać dostęp do środków i przejąć 10 mln ETH, co stanowi około 60% środków użytkowników. Jai Bhavnani, dyrektor generalny Rari Capital, powiedział, że główni współtwórcy protokołu zgodzili się przekazać 2 miliony RGT – które początkowo zostały przeznaczone na zachęty dla deweloperów – do DAO i zwrócić poszkodowanym użytkownikom. Zgodnie z analizą przeprowadzoną po zdarzeniu, haker opróżnił pulę płynności biorąc błyskawiczną pożyczkę z giełdy dYdX, aby zdeponować ETH i dokonać wielokrotnych wypłat. Aby uniknąć podobnej sytuacji w przyszłości, protokół nie dopuści do wpłat i wypłat w tym samym bloku. Rari Capital Ethereum Pool przekazuje ETH do tokena ibETH firmy Alpha Finance. Twórcy nie byli jednak świadomi, że token ibETH posiada funkcję, która może sztucznie zawyżać jego wartość. Atakujący wykorzystał tę funkcję, manipulując kontraktem tak, aby wypłacić więcej środków niż zdeponował. Według Davida Lucida, głównego dewelopera Rari Capital, łupem hakera padło 2600 ETH z Ethereum Pool.

DeFi na celowniku hakerów

Rari Capital wciąż omawia plan działania z użytkownikami. Pierwszym środkiem bezpieczeństwa ma być wymóg, aby wszystkie kolejne protokoły, z którymi firma się integruje, dokonywały przeglądu swoich integracji i potwierdzały, że „znają własny kod lepiej niż ktokolwiek inny”. Firma przygotowuje się również do audytu, który przeprowadzi firma OpenZeppelin i zamierza zatrudnić inne firmy audytorskie niż Quantstamp. Protokół Rari Capital to kolejna ofiara ataku hakerskiego na DeFi. W następstwie ataku wartość tokena Rari Governance (RGT) spadła o ponad 50%, z 18 USD do 8 USD, jednak później RGT odzyskał nieco wartości i wzrósł do 12 USD. W ostatnim czasie doszło do licznych ataków w przestrzeni DeFi. Według doniesień medialnych w ataku na Uranium Finance hakerzy przejęli co najmniej 50 mln USD. Znaczna część społeczności kryptowalutowej spekuluje jednak, że atak jest tylko pozorowany, a tak naprawdę deweloperzy sami ulotnili się z pieniędzmi użytkowników.