Furucombo robó $ 14 millones Apocalipsis: no autorice en exceso

En la madrugada del 28 de febrero, hora de Beijing, apareció una grave vulnerabilidad en el contrato inteligente de Furucombo, una herramienta de combinación de protocolos de Ethereum. Los atacantes han ganado más de 14 millones de dólares explotando esta vulnerabilidad.

El análisis de PeckShield (Paid Shield) encontró que esta vulnerabilidad es el mismo principio que la vulnerabilidad que apareció en Primitive Finance hace unos días, y está relacionada con la autorización ilimitada del usuario.

Cream Finance se vio afectada por la vulnerabilidad, lo que resultó en una pérdida de aproximadamente $ 1.1 millones, ya que no revocó todas las autorizaciones a contratos externos de la billetera de manera oportuna. la

CEO de Bitfury: las valoraciones de las criptomonedas no deben vincularse a la idea de que pueden reemplazar al dólar estadounidense: Golden Financial News, el CEO de Bitfury Group (Brian Brooks) dice que las valoraciones de las criptomonedas no deben vincularse a la idea de que pueden reemplazar al dólar estadounidense, en cambio, las criptomonedas deben verse como un sistema que reemplaza la transferencia de valor. Los precios de las criptomonedas deben verse como acciones de Internet en lugar de monedas. [2022/6/29 1:37:36]

El agregador DeFi Furucombo se lanzó en marzo de 2020 e inicialmente solo admitía transacciones Uniswap V1 y funciones de suministro Compound. En diciembre de 2020, Furucombo agregó protocolos como Uniswap, Compound y Aave.

El fabricante de hardware de minería de Bitcoin, Bitfury, invierte en Axelera AI con USD 12 millones: el 15 de septiembre, Axelera AI, una empresa holandesa de nueva creación de semiconductores de inteligencia artificial, anunció la finalización de una ronda inicial de financiación de USD 12 millones, dirigida por el fabricante de hardware de minería de Bitcoin. Bitfury, Innovation Industries Fund participó en la inversión. La compañía declaró que apoyará el desarrollo de aplicaciones de inteligencia artificial de borde. El mercado de inteligencia artificial de borde aún está en pañales. El líder actual del mercado es Nvidia. Recientemente, nuevas empresas emergentes como Hailo, Mythic y Blaize han lanzado nuevos productos. (Venturebeat) [2021/9/15 23:27:32]

Su director ejecutivo, Hsuan-Ting Chu, dijo una vez: "Furucombo es diferente de 1 pulgada y Yearn Finance. Furucombo agrega varios protocolos DeFi. Con Furucombo, todos son 'sin permiso'".

El proveedor de servicios API Infura ha lanzado la función "Infura Transactions (ITX)" en la red principal: Según noticias oficiales, Infura, un proveedor de servicios API para Ethereum e IPFS, dijo que ha lanzado la función "Infura Transactions (ITX)" en la red principal Infura Transactions (ITX) es la forma más fácil de enviar transacciones de Ethereum, aliviando muchas de las complejidades en las tarifas de gas y la gestión de transacciones. Un proceso en cadena permite a los usuarios pagar las tarifas de ITX utilizando ETH sin necesidad de una tarjeta de crédito. [2021/2/10 19:26:53]

Al mismo tiempo, Furucombo permite a los usuarios realizar préstamos rápidos sin garantía y tomar prestado cualquier cantidad de activos.

Mediante seguimiento y análisis, PeckShield descubrió que el protocolo Furucombo es similar a Lego, y esta vulnerabilidad está relacionada con la autorización ilimitada del usuario. Primero, el atacante crea un contrato inteligente de ataque y lo ejecuta en el agente Furucombo vulnerable;

Furucombo llama a la función AaveLendingPoolv2 en la lista blanca, adjunta la dirección del contrato de ataque en la función y llama a la función AaveLendingPoolv2::initialize(), que además puede llamar al contrato de ataque provisto;

Finalmente, si el usuario no revoca la autorización, el atacante puede robar los activos en la billetera del usuario atacando el proxy Furucombo.

Bajo el liderazgo de la minería de liquidez, DeFi volverá a despegar en 2020 y se convertirá en el foco de la innovación financiera, y cada vez hay más formas de jugar en este campo. Dado que varios activos valiosos se almacenan en el protocolo, DeFi también se ha convertido en el área más afectada para ser atacada.

Los expertos en seguridad de PeckShield dijeron: "El agregador de DeFi Furucombo ha jugado Lego hasta el extremo, pero la auditoría de cada enlace es aún más importante. Las nuevas combinaciones continuarán cambiando y adaptándose, lo que requiere un monitoreo regular y continuo de los contratos. Auditorías de seguridad en lugar de marcar las cajas antes del lanzamiento".

Cuando trate con activos, autorice cuidadosamente. DeFi está pasando por un período de crecimiento sin precedentes donde el costo de la confianza es muy alto.

Con el rápido crecimiento de la industria DeFi, especialmente los esfuerzos continuos en la cooperación comercial y operativa, los posibles problemas de seguridad en el proceso de combinación se volverán más prominentes. Después de que los piratas informáticos ataquen una determinada vulnerabilidad del contrato DeFi para obtener ganancias, utilizarán el mismo principio de vulnerabilidad para atacar otros contratos DeFi en secuencia.

PeckShield (PeckShield) recuerda a cada contrato DeFi que una vez que se produce un ataque, el código debe autoverificarse. Si no entiende esto, debe buscar una agencia de auditoría profesional para realizar auditorías e investigaciones a tiempo para evitar problemas antes de que sucedan.

Tags：

Huobi