Tấn công giả mạo hợp đồng vào Furucombo, 14 triệu USD đã bị đánh cắp

Furucombo, một công cụ được thiết kế để giúp người dùng thực hiện các giao dịch và tương tác “hàng loạt” với nhiều giao thức tài chính phi tập trung (DeFi) cùng một lúc, đã trở thành nạn nhân của cuộc tấn công vào khoảng 4:45 chiều UTC, tập trung vào việc phê duyệt token từ người dùng.


Địa chỉ của kẻ tấn công hiện có 14 triệu USD tiền điện tử khác nhau, nhưng cuộc tấn công có vẻ lớn hơn vì chúng đã chuyển ETH sang máy trộn riêng tư Tornado Cash theo từng lô trong giờ qua.

Cuộc tấn công này về mặt khái niệm tương tự như cuộc tấn công "cái lọ ác" trị giá 20 triệu USD đã xảy ra với Pickle Finance vào năm ngoái, cũng như vụ khai thác "bùa chú" trị giá 37 triệu USD đã tấn công Alpha Finance vào đầu tháng này. Trong các khai thác "hợp đồng xấu" này, kẻ tấn công tạo ra một hợp đồng đánh lừa một giao thức tin rằng nó thuộc về nơi đó, cho phép chúng truy cập vào quỹ tiền của giao thức.

Nhà phân tích tại The Block @FrankResearcher thông tin về vụ việc như sau:

"Điều gì đã xảy ra đối với Furrucombo. Một kẻ tấn công sử dụng hợp đồng giả đã làm cho Furucombo nghĩ rằng Aave v2 đã có một thực thi mới. Chính vì vậy mà tất cả các tương tác với Aave v2 đều được phép chuyển các token đã được chứng nhận đến một địa chỉ ngẫu nhiên."

Theo @FrankResearcher

Trong trường hợp này, kẻ tấn công đã ‘lừa’ giao thức Furucombo nghĩ rằng hợp đồng của họ là một phiên bản mới của Aave. Từ đó, thay vì rút tiền từ giao thức như trong các lần khai thác hợp đồng xấu trước đây, kẻ tấn công đã tận dụng khả năng chuyển tiền của mọi người dùng đã cấp quyền cho token của giao thức.

"Sự cho phép không giới hạn, có nghĩa là bạn có thể xóa sạch những ai đã tương tác với Furucombo," hacker nón trắng và đồng sáng lập của DeFi Italy Emiliano Bonassi cho biết.

Kiểu khai thác này dường như đang ngày càng trở nên phổ biến, hiện chiếm hơn 70 triệu USD về số tiền người dùng bị mất chỉ trong vài tháng.

Đội ngũ của giao thức này đã xác nhận cuộc tấn công trong một Tweet, nói rằng họ “tin rằng” họ sẽ giảm thiểu việc khai thác này nhưng đề nghị thu hồi sự cho phép cần “hết sức thận trọng:”

"Hôm nay, Furucombo đã chịu tổn hại bởi một kẻ tấn công. Chúng tôi đã đã tước bỏ hiệu lực của các thành phần liên quan và tin rằng những tổn thất đã được sửa chữa. Nhưng chúng tôi khuyến nghị người sử dụng xóa bỏ sự chứng nhận cần hết sức thẩn trọng."

Người dùng có thể tận dụng các công cụ như revoke.cash để làm như vậy.

Vụ tấn công diễn ra trong giai đoạn phản ánh mối quan tâm rộng lớn đối với vấn đề bảo mật và lợi ích của các công ty kiểm toán. Trong 3 tháng qua, 3 dịch vụ đánh giá mã và kiểm toán khác nhau đã xuất hiện, với mỗi dịch vụ có những mô hình khuyến khích khác nhau nhằm tăng cường thực thi bảo mật linh hoạt và kỹ lưỡng. 

Theo cointelegraph

Đăng nhận xét

Please Select Embedded Mode To Show The Comment System.*

Mới hơn Cũ hơn
BuyBitcoinswithCreditCard