El último exploit del “contrato maligno” le ha otorgado a un atacante más de USD 14 millones en fondos robados.
Furucombo, una herramienta diseñada para ayudar a los usuarios a realizar transacciones e interacciones por lotes con múltiples protocolos de finanzas descentralizadas (DeFi) a la vez, fue víctima del ataque aproximadamente a las 4:45 pm UTC, que se centró en las aprobaciones de tokens de los usuarios.
La dirección del atacante tiene actualmente un valor de USD 14 millones en varias criptomonedas, pero el ataque parece ser mayor ya que han estado transfiriendo ETH al mezclador de privacidad Tornado Cash en lotes durante la última hora.
Este ataque es conceptualmente similar al ataque de USD 20 millones de "jarra malvada" que afectó a Pickle Finance el año pasado, así como al exploit de USD 37 millones de "hechizo maligno" que afectó a Alpha Finance a principios de este mes. En estas hazañas de "contrato maligno", un atacante crea un contrato que engaña a un protocolo haciéndole creer que pertenece allí, dándole acceso a los fondos del protocolo.
So what happened to Furucombo
— Igor Igamberdiev (@FrankResearcher) February 27, 2021
An attacker using a fake contract made Furucombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL
En este caso, el atacante "engañó" al protocolo Furucombo haciéndole creer que su contrato era una nueva versión de Aave. A partir de ahí, en lugar de drenar fondos del protocolo como en exploits de contratos malvados anteriores, el atacante aprovechó la capacidad de transferir los fondos de cada usuario que había otorgado permisos de token de protocolo.
"Los permisos infinitos significan que puedes borrar a todos los que interactuaron con Furucombo", dijo el hacker de whitehat y cofundador de DeFi Italia Emiliano Bonassi en un comunicado a Cointelegraph.
Este tipo de exploit parece ser cada vez más popular y ahora representa más de USD 70 millones en fondos de usuario perdidos en solo unos pocos meses.
El equipo confirmó el ataque en un tuit, diciendo que "creían" que habían mitigado el exploit, pero recomendaron revocar los permisos "por precaución:"
Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021
Los usuarios pueden aprovechar herramientas como revoke.cash para hacerlo.
El ataque se produce durante un período de reflexión más amplia en el mundo de DeFi sobre la seguridad y la utilidad de las empresas de auditoría. En los últimos tres meses, han surgido tres servicios diferentes de revisión de código y auditoría, cada uno con un modelo de incentivos diferente diseñado para fomentar prácticas de seguridad más completas y dinámicas.
Sigue leyendo:
- El proyecto de DeFi Pickle Finance sufre una vulneración que le costó 20 millones de dólares a sus depositantes
- Alpha Homora pierde 37 millones de dólares tras un exploit de la función Iron Bank de Cream Finance
- Mientras la fe en las auditorías se tambalea, la comunidad DeFi opina sobre alternativas de seguridad
- Dash Emplea a Hackers de Sombrero Blanco para Hackear su Propia Blockchain
- Los cambios en los términos de las reservas de Tether suscitan nuevas preocupaciones
- ¿Están los vehículos de inversión llevando a las criptomonedas a la madurez?
- Con esta estrategia alcista de opciones de Bitcoin los traders pueden especular sobre el precio de BTC con menos riesgo