Cuộc tấn công mới nhất dựa trên quyền của người dùng được cấp cho giao thức
Vụ khai thác “hợp đồng xấu xa” mới nhất đã thu được của kẻ tấn công hơn 14 triệu đô la tiền bị đánh cắp.
Furucombo, một công cụ được thiết kế để giúp người dùng thực hiện các giao dịch và tương tác “hàng loạt” với nhiều giao thức cùng một lúc, đã trở thành nạn nhân của cuộc tấn công tập trung vào việc phê duyệt mã thông báo từ người dùng.
Địa chỉ của kẻ tấn công hiện có 14 triệu đô la là nhiều loại tiền điện tử khác nhau, nhưng cuộc tấn công có vẻ lớn hơn vì họ đã chuyển ETH sang máy trộn quyền riêng tư Tornado Cash theo lô trong giờ qua.
Cuộc tấn công này về mặt khái niệm tương tự như cuộc tấn công “cái lọ ác” trị giá 20 triệu đô la đã xảy ra với Pickle Finance vào năm ngoái, cũng như vụ khai thác “bùa chú” trị giá 37 triệu đô la đã tấn công Alpha Finance vào đầu tháng này. Trong các khai thác “hợp đồng xấu” này, kẻ tấn công tạo ra một hợp đồng đánh lừa một giao thức tin rằng nó thuộc về nơi đó, cho họ quyền truy cập vào quỹ giao thức.
Vậy điều gì đã xảy ra với Furuсombo
Kẻ tấn công sử dụng hợp đồng giả khiến Furuсombo nghĩ rằng Aave v2 có một triển khai mới.
Do đó, tất cả các tương tác với ‘Aave v2’ đều cho phép chuyển các mã thông báo được chấp thuận đến một địa chỉ tùy ý. pic.twitter.com/gQVxJqiAmL– Igor Igamberdiev (@FrankResearcher) Ngày 27 tháng 2 năm 2021
Trong trường hợp này, kẻ tấn công đã ‘lừa’ giao thức Furucombo nghĩ rằng hợp đồng của họ là một phiên bản mới của Aave. Từ đó, thay vì rút tiền từ giao thức như trong các lần khai thác hợp đồng xấu trước đây, họ thay vào đó tận dụng khả năng lấy tiền của mọi người dùng đã cấp quyền cho mã thông báo giao thức.
“Quyền vô hạn có nghĩa là bạn có thể xóa sạch tất cả những ai đã tương tác với Furucombo,” hacker whitehat và đồng sáng lập DeFi Italy cho biết trong một tuyên bố với Cointelegraph.
Loại khai thác này dường như đang ngày càng trở nên phổ biến, hiện chiếm hơn 70 triệu đô la trong quỹ người dùng bị mất chỉ trong vài tháng.
Nhóm đã xác nhận cuộc tấn công trong một Tweet, nói rằng họ “tin rằng” họ sẽ giảm thiểu việc khai thác nhưng đề nghị thu hồi quyền “hết sức thận trọng:”
Hôm nay, lúc 4:47 chiều UTC, proxy Furucombo đã bị kẻ tấn công xâm phạm. Chúng tôi đã hủy cấp phép các thành phần có liên quan và tin rằng lỗ hổng bảo mật cần được vá nhưng chúng tôi khuyên người dùng nên loại bỏ các phê duyệt một cách thận trọng.
– FURUCOMBO (@furucombo) Ngày 27 tháng 2 năm 2021
Người dùng có thể tận dụng các công cụ như revoke.cash để làm như vậy.
Cuộc tấn công xảy ra trong một thời kỳ phản ánh rộng rãi hơn trong thế giới DeFi về bảo mật và tiện ích của các công ty kiểm toán. Trong ba tháng qua, ba dịch vụ kiểm toán và soát xét mã khác nhau đã xuất hiện, mỗi dịch vụ có một mô hình khuyến khích khác nhau được thiết kế để khuyến khích các thực hành bảo mật kỹ lưỡng và năng động hơn.
.
