2022年4月30日，北京时间，Fei Protocol宣布他们正在调查Rari Fuse池上的一个漏洞。目前该项目已经暂停了所有借款以减少进一步的损失，并公开向攻击者提供1000万美元用以交换黑客所盗的用户资金，并保证不事后进行追问。

目前报告的总损失约为7935万美元，攻击者已向前迈进Tornado Cash发送了5400个ETH(约1530万美元)，但他们的钱包里还有22，672.97个 ETH(约6425万美元)。这次攻击已经耗尽Rari币池资金，Fei币池（Tribe，Curve）尚未受到影响。

一位Rari团队成员在项目中Discord回应此事并表示 "Fuse一些借款人可能会受到影响"，以及 "Fuse池中的PCV可能会有风险"。该Rari团队成员还证实，只能借的资产容易受到攻击，但情况有所改善。

初步报告显示，这个漏洞很可能是由重新进入问题引起的，这是智能审计中最常见的错误，也是2016年臭名昭著的许多漏洞的罪魁祸首The DAO近年来黑客事件和受害者的几项主要协议↓

○ 2020年4月Uniswap/Lendf.Me被黑客利用重入漏洞攻击，被盗资产500万美元，

○2021年5月BurgerSwap因虚假合约及一个重入性的漏洞被黑客恶意利用，受盗资产720万美元。

○2021年8月SURGEBNB黑客似乎利用重新进入的价格操纵来攻击被盗资产400万美元。

○2021年8月CREAM FINANCE黑客可以二次借款，资产被盗1880万美元。

○2021年9月Siren被盗资产350万美元的协议遭到攻击AMM池被重新攻击。

CertiK本周在medium发表了一篇关于重入式攻击的文章：https://certik.medium.com/what-is-a-reentrancy-attack-6516fefc001这篇文章将在不久的将来CertiK官方账号发布中文版，请继续关注！

写在最后

这样，被盗资产令近8000万美元Fei Protocol成为有史以来最大的重攻受害者。2022年4月1日，Rari Capital在Medium发布了一份安全升级报告，称他们已经修复了一个和Fuse pools安全问题。

该补丁可以防止函数所需的重新进入进行修复Compound已知漏洞。虽然这种方法可以保护许多系统功能，但它不正确exitMarket()生效。当恶意攻击者收到全局重入锁时，即使处于激活状态ETH他们可以调用exitMarket()。

Fei Protocol本月初，他们也遇到了一些问题。当时，他们本可以在漏洞发生之前阻止它，但情况并不令人满意：他们通过漏洞赏金计划找到了一个bug，在修复漏洞漏洞的同时关闭了rebate program。

截至目前，Fei Protocol该团队尚未正式宣布其调查结果。