Разработчики протокола децентрализованных финансов Rari Capital сообщили о взломе одного из своих пулов ликвидности. Хакерам удалось похитить ETH на $10 млн.

Вечером 8 мая злоумышленники получили доступ к пулу Rari Capital Ethereum Pool и вывели около 2 600 ETH, то есть около 60% от всех средств пользователей в этом пуле. Хакерам удалось обнаружить уязвимость в функции «ibETH.work» в рамках взаимодействия протокола Rari Capital и проекта Alpha Finance.

При проведении взлома хакеры взяли быстрый займ в ETH на платформе dYdX и зачислили токены в пул Эфириума Rari Capital. После этого они воспользовались уязвимостью в функции и искусственно увеличили параметр ibETH.totalETH, то есть, «накачали» размер пула. После этого они вывели больше монет, чем депонировали, так как искусственно увеличенный пул позволил это сделать. После этого параметр вернулся к норме, а балансы участников пула снизились на количество выведенных злоумышленниками монет.

Разработчики Rari Capital отметили, что код смарт-контракта проходил аудит специалистов компании Quantstamp, однако они также не обнаружили уязвимость в функции. Они принесли извинения участникам пула и представили несколько шагов по предотвращению подобных атак в будущем.

В конце апреля взлому подвергся другой протокол DeFi под названием Uranium Finance. Хакерам удалось получить большой куш ― они украли криптовалюты на $50 млн.