交易批处理协议Furucombo遭受1400万美元的“恶意合同”黑客攻击

最新的“恶意合同”漏洞已使攻击者获得了超过1400万美元的赃款。

Furucombo是一种旨在帮助用户立即“批量”交易和与多个协议进行交互的工具，该攻击以用户的令牌批准为中心成为了攻击的受害者。

攻击者的地址目前有1400万美元是各种加密货币，但由于他们在过去一小时内将ETH分批转移到隐私混合器Tornado Cash中，攻击似乎更大。

从概念上讲，此攻击类似于去年对Pickle Finance进行的2000万美元“邪恶之瓶”攻击，以及本月初袭击Alpha Finance的3,700万美元“邪恶法术”攻击。 在这些“恶意合同”漏洞中，攻击者创建了一个合同，使协议认为其属于该协议，从而使他们可以使用协议资金。

那么Furuсombo发生了什么

攻击者使用虚假合同使Furuсombo认为Aave v2具有新的实现。
因此，与“ Aave v2”的所有交互都允许将批准的令牌转移到任意地址。 pic.twitter.com/gQVxJqiAmL

— Igor Igamberdiev（@FrankResearcher）2021年2月27日

在这种情况下，攻击者“诱骗”了Furucombo协议，以为他们的合同是Aave的新版本。 从那里开始，他们没有像以前的恶意合同漏洞那样从协议中耗费资金，而是利用了为拥有协议令牌许可权的每个用户收取资金的能力。

“无限的权限意味着您可以擦除与Furucombo进行交互的每个人，” whitehat黑客和DeFi Italy的联合创始人在给Cointelegraph的一份声明中说。

这种漏洞利用类型似乎越来越流行，现在仅在短短几个月内就损失了超过7,000万美元的用户资金。

小组在推文中确认了攻击，称他们“认为”他们减轻了漏洞利用，但“出于谨慎考虑，”建议撤销许可：

今天世界标准时间下午4：47，Furucombo代理遭到攻击者的攻击。 我们已经取消了相关组件的授权，并认为该漏洞已得到修补，但是我们建议用户出于谨慎考虑而删除批准。

— FURUCOMBO（@furucombo）2021年2月27日

用户可以利用revoke.cash之类的工具来这样做。

该攻击发生在DeFi世界对安全性和审计公司的效用进行广泛反思的时期。 在过去的三个月中，已经出现了三种不同的审核和代码审核服务，每种服务都具有旨在鼓励更彻底和动态的安全实践的不同激励模型。

—-

原文链接：https://cointelegraph.com/news/transaction-batching-protocol-furucombo-suffers-14-million-evil-contract-hack

原文作者：Cointelegraph By Andrew Thurman

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。