Furucombo robó 14 millones de dólares de Apocalipsis: nunca exceder las licencias

En la madrugada del 28 de febrero, hora de Beijing, apareció una grave vulnerabilidad en el contrato inteligente de Furucombo, una herramienta de combinación de protocolos de Ethereum. Los atacantes han ganado más de 14 millones de dólares explotando esta vulnerabilidad.

El análisis de PeckShield (Paid Shield) encontró que esta vulnerabilidad es el mismo principio que la vulnerabilidad que apareció en Primitive Finance hace unos días, y está relacionada con la autorización ilimitada del usuario.

Cream Finance se vio afectada por la vulnerabilidad, lo que resultó en una pérdida de aproximadamente $ 1.1 millones, ya que no revocó todas las autorizaciones a contratos externos de la billetera de manera oportuna. la

El agregador DeFi Furucombo se lanzó en marzo de 2020 e inicialmente solo admitía transacciones Uniswap V1 y funciones de suministro Compound. En diciembre de 2020, Furucombo agregó protocolos como Uniswap, Compound y Aave.

Datos: La red Ethereum quemó y destruyó menos de 2000 ETH ayer: Jinse Finance informó que según los datos de Ultrasound, la red Ethereum quemó y destruyó menos de 2000 ETH ayer, solo 1998,31 ETH. Entre ellos, OpenSea destruyó 193,38 ETH, las transferencias de ETH destruyeron 181,03 ETH y Uniswap V2 destruyó 127,11 ETH.

Nota: Dado que EIP-1559 se introdujo en la actualización de Ethereum London, la red Ethereum ajustará dinámicamente la tarifa base de cada transacción de acuerdo con la demanda de la transacción y el tamaño del bloque, y esta parte de la tarifa se quemará y destruirá directamente. [2022/5/16 3:18:39]

Su director ejecutivo, Hsuan-Ting Chu, dijo una vez: "Furucombo es diferente de 1 pulgada y Yearn Finance. Furucombo agrega varios protocolos DeFi. Con Furucombo, todos son 'sin permiso'".

Al mismo tiempo, Furucombo permite a los usuarios realizar préstamos rápidos sin garantía y tomar prestado cualquier cantidad de activos.

Mediante seguimiento y análisis, PeckShield descubrió que el protocolo Furucombo es similar a Lego, y esta vulnerabilidad está relacionada con la autorización ilimitada del usuario. Primero, el atacante crea un contrato inteligente de ataque y lo ejecuta en el agente Furucombo vulnerable;

Furucombo llama a la función AaveLendingPoolv2 en la lista blanca, adjunta la dirección del contrato de ataque en la función y llama a la función AaveLendingPoolv2::initialize(), que además puede llamar al contrato de ataque provisto;

Finalmente, si el usuario no revoca la autorización, el atacante puede robar los activos en la billetera del usuario atacando el proxy Furucombo.

Bajo el liderazgo de la minería de liquidez, DeFi volverá a despegar en 2020 y se convertirá en el foco de la innovación financiera, y cada vez hay más formas de jugar en este campo. Dado que varios activos valiosos se almacenan en el protocolo, DeFi también se ha convertido en el área más afectada para ser atacada.

Los expertos en seguridad de PeckShield dijeron: "El agregador de DeFi Furucombo ha jugado Lego hasta el extremo, pero la auditoría de cada enlace es aún más importante. Las nuevas combinaciones continuarán cambiando y adaptándose, lo que requiere un monitoreo regular y continuo de los contratos. Auditorías de seguridad en lugar de marcar las cajas antes del lanzamiento".

Cuando trate con activos, autorice cuidadosamente. DeFi está pasando por un período de crecimiento sin precedentes donde el costo de la confianza es muy alto.

Con el rápido crecimiento de la industria DeFi, especialmente los esfuerzos continuos en la cooperación comercial y operativa, los posibles problemas de seguridad en el proceso de combinación se volverán más prominentes. Después de que los piratas informáticos ataquen una determinada vulnerabilidad del contrato DeFi para obtener ganancias, utilizarán el mismo principio de vulnerabilidad para atacar otros contratos DeFi en secuencia.

PeckShield (PeckShield) recuerda a cada contrato DeFi que una vez que se produce un ataque, el código debe autoverificarse. Si no entiende esto, debe buscar una agencia de auditoría profesional para realizar auditorías e investigaciones a tiempo para evitar problemas antes de que sucedan.

Tags：

DOT