El protocolo de procesamiento de transacciones por lotes Furucombo sufre un hack “contrato maligno” de 14 millones de dólares
El último exploit del “contrato maligno” le ha otorgado a un atacante más de USD 14 millones en fondos robados.
Furucombo, una herramienta diseñada para ayudar a los usuarios a realizar transacciones e interacciones por lotes con múltiples protocolos de finanzas descentralizadas (DeFi) a la vez, fue víctima del ataque aproximadamente a las 4:45 pm UTC, que se centró en las aprobaciones de tokens de los usuarios.
La dirección del atacante tiene actualmente un valor de USD 14 millones en varias criptomonedas, pero el ataque parece ser mayor ya que han estado transfiriendo ETH al mezclador de privacidad Tornado Cash en lotes durante la última hora.
Este ataque es conceptualmente similar al ataque de USD 20 millones de “jarra malvada” que afectó a Pickle Finance el año pasado, así como al exploit de USD 37 millones de “hechizo maligno” que afectó a Alpha Finance a principios de este mes. En estas hazañas de “contrato maligno”, un atacante crea un contrato que engaña a un protocolo haciéndole creer que pertenece allí, dándole acceso a los fondos del protocolo.
So what happened to Furucombo
An attacker using a fake contract made Furucombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL— Igor Igamberdiev (@FrankResearcher) February 27, 2021
En este caso, el atacante “engañó” al protocolo Furucombo haciéndole creer que su contrato era una nueva versión de Aave. A partir de ahí, en lugar de drenar fondos del protocolo como en exploits de contratos malvados anteriores, el atacante aprovechó la capacidad de transferir los fondos de cada usuario que había otorgado permisos de token de protocolo.
“Los permisos infinitos significan que puedes borrar a todos los que interactuaron con Furucombo”, dijo el hacker de whitehat y cofundador de DeFi Italia Emiliano Bonassi en un comunicado a Cointelegraph.
Este tipo de exploit parece ser cada vez más popular y ahora representa más de USD 70 millones en fondos de usuario perdidos en solo unos pocos meses.
El equipo confirmó el ataque en un tuit, diciendo que “creían” que habían mitigado el exploit, pero recomendaron revocar los permisos “por precaución:”
Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021
Los usuarios pueden aprovechar herramientas como revoke.cash para hacerlo.
El ataque se produce durante un período de reflexión más amplia en el mundo de DeFi sobre la seguridad y la utilidad de las empresas de auditoría. En los últimos tres meses, han surgido tres servicios diferentes de revisión de código y auditoría, cada uno con un modelo de incentivos diferente diseñado para fomentar prácticas de seguridad más completas y dinámicas.
Sigue leyendo: