Инструмент Furucombo, предназначенный для помощи пользователям в «группировке» транзакций и взаимодействии с несколькими протоколами одновременно, стал жертвой атаки, в основе которой лежали согласования пользователями.
В настоящее время адрес злоумышленника содержит 14 миллионов долларов в различных криптовалютах, однако в течение последнего часа хакеры партиями переводили ETH в миксер Tornado Cash.
Концептуально эта атака похожа на атаку «злая банка», поразившая в прошлом году Pickle Finance и повлекшая потери в 20 миллионов долларов, а также на уязвимость «злое заклинание», потери от которого Alpha Finance составили 37 миллионов долларов. С помощью эпизода «злого контракта» злоумышленник создаёт контракт, который обманывает протокол, заставляя его поверить в то, что он принадлежит ему, предоставляя доступ к средствам протокола.
Итак, что случилось с Furuсombo.
Злоумышленник, использующий поддельный контракт, заставил протокол решить, что Aave v2 имеет новую реализацию.
Из-за этого все взаимодействия с «Aave v2» позволяли передавать утверждённые токены на произвольный адрес.
So what happened to Furuсombo?
An attacker using a fake contract made Furuсombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL— Igor Igamberdiev (@FrankResearcher) February 27, 2021
Бесконечные разрешения означают, что вы можете исключить всех, кто взаимодействовал с Furucombo, — заметил белый хакер и соучредитель DeFi Italy.
Этот тип уязвимостей, похоже, становится всё более популярным, на его долю приходится более 70 миллионов долларов пользовательских средств, потерянных всего за несколько месяцев.
Команда подтвердила атаку в твите, добавив, что они верят в то, что уменьшили опасность уязвимости, но рекомендовали отозвать разрешения в целях предосторожности:
Сегодня в 19:47 злоумышленник взломал прокси-сервер Furucombo. Мы деавторизовали соответствующие компоненты и считаем, что уязвимость исправлена, но мы рекомендуем пользователям удалять утверждения из соображений осторожности.
Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021
Пользователи могут использовать для этого такие инструменты, как revoke.cash.

Редактор, работает в Happy Coin News с 2016 года, превращая ресурс в источник аналитики о криптовалютах. Видит свою цель работы в финансовом просвещении.