Новости экономики

Из-за атаки протокол Furucombo потерял $14 млн

Инструмент Furucombo, предназначенный для помощи пользователям в «группировке» транзакций и взаимодействии с несколькими протоколами одновременно, стал жертвой атаки, в основе которой лежали согласования пользователями.

В настоящее время адрес злоумышленника содержит 14 миллионов долларов в различных криптовалютах, однако в течение последнего часа хакеры партиями переводили ETH в миксер Tornado Cash.

Концептуально эта атака похожа на атаку «злая банка», поразившая в прошлом году Pickle Finance и повлекшая потери в 20 миллионов долларов, а также на уязвимость «злое заклинание», потери от которого Alpha Finance составили 37 миллионов долларов. С помощью эпизода «злого контракта» злоумышленник создаёт контракт, который обманывает протокол, заставляя его поверить в то, что он принадлежит ему, предоставляя доступ к средствам протокола.

Итак, что случилось с Furuсombo.

Злоумышленник, использующий поддельный контракт, заставил протокол решить, что Aave v2 имеет новую реализацию.
Из-за этого все взаимодействия с «Aave v2» позволяли передавать утверждённые токены на произвольный адрес.

Бесконечные разрешения означают, что вы можете исключить всех, кто взаимодействовал с Furucombo, – заметил белый хакер и соучредитель DeFi Italy.

Этот тип уязвимостей, похоже, становится всё более популярным, на его долю приходится более 70 миллионов долларов пользовательских средств, потерянных всего за несколько месяцев.

Команда подтвердила атаку в твите, добавив, что они верят в то, что уменьшили опасность уязвимости, но рекомендовали отозвать разрешения в целях предосторожности:

Сегодня в 19:47 злоумышленник взломал прокси-сервер Furucombo. Мы деавторизовали соответствующие компоненты и считаем, что уязвимость исправлена, но мы рекомендуем пользователям удалять утверждения из соображений осторожности.

Пользователи могут использовать для этого такие инструменты, как revoke.cash.

ICO telegram

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 оценок, среднее: 4,00 из 5)
Загрузка...
Светлана Сухарева

Редактор. Переводчик. Криптоинвестор.