Transaktions-Batching-Protokoll Furucombo erleidet einen „bösen Vertrag“ -Hack in Höhe von 14 Millionen US-Dollar

Transaktions-Batching-Protokoll Furucombo erleidet einen „bösen Vertrag“ -Hack in Höhe von 14 Millionen US-Dollar

Feb 28, 2021 Bitcoin von admin

Der letzte Angriff beruhte auf Benutzerberechtigungen, die dem Protokoll erteilt wurden

Der jüngste Exploit „böser Vertrag“ hat einem Angreifer gestohlene Gelder in Höhe von über 14 Millionen US-Dollar eingebracht

Furucombo, ein Tool, mit dem Benutzer Transaktionen und Interaktionen mit mehreren DeFi-Protokollen (Dezentral Finance) gleichzeitig stapeln können, wurde gegen 16.45 Uhr UTC Opfer des Angriffs, bei dem es um Token-Genehmigungen von Benutzern ging.

Die Adresse des Angreifers enthält derzeit verschiedene Kryptowährungen im Wert von 14 Millionen US-Dollar. Der Angriff scheint jedoch größer zu sein, da die ETH in der letzten Stunde stapelweise an den Datenschutzmixer Tornado Cash übertragen wurde.

Dieser Angriff ähnelt konzeptionell dem 20-Millionen-Dollar- Angriff auf Evle Jar, der Pickle Finance im letzten Jahr getroffen hat, sowie dem 37-Millionen-Dollar- Exploit, der Alpha Finance Anfang dieses Monats getroffen hat. Bei diesen Exploits mit „bösen Verträgen“ erstellt ein Angreifer einen Vertrag, der ein Protokoll dazu verleitet, zu glauben, dass es dort hingehört, und ihm Zugriff auf Protokollmittel gewährt.

In diesem Fall hat der Angreifer das Furucombo-Protokoll dazu gebracht, zu glauben, sein Vertrag sei eine neue Version von Aave. Von dort aus nutzte der Angreifer die Möglichkeit, die Gelder jedes Benutzers zu übertragen, der die Berechtigungen für das Protokoll-Token erteilt hatte, anstatt wie in früheren Exploits mit bösen Verträgen Geld aus dem Protokoll zu ziehen.

„Unendliche Berechtigungen bedeuten, dass Sie jeden löschen können, der mit Furucombo interagiert hat“, sagte der Hacker und Mitbegründer von DeFi Italien, Emiliano Bonassi, in einer Erklärung gegenüber Cointelegraph.

Diese Art von Exploit scheint immer beliebter zu werden und macht nun über 70 Millionen US-Dollar an Benutzergeldern aus, die innerhalb weniger Monate verloren gegangen sind.

Das Team bestätigte den Angriff in einem Tweet und sagte, dass sie „glaubten“, den Exploit gemildert zu haben, empfahlen jedoch, die Berechtigungen „aus Vorsicht“ zu widerrufen:

Benutzer können dazu Tools wie revoke.cash nutzen

Der Angriff erfolgt in einer Zeit umfassenderer Überlegungen in der DeFi-Welt zur Sicherheit und zum Nutzen von Wirtschaftsprüfungsunternehmen. In den letzten drei Monaten wurden drei verschiedene Prüfungs- und Codeüberprüfungsdienste mit jeweils unterschiedlichen Anreizmodellen entwickelt, um gründlichere und dynamischere Sicherheitspraktiken zu fördern.

vonadmin