Thêm một nạn nhân Defi bị hack
Nạn nhân lần này là ai?
Furucombo - 1 dự án Defi cung cấp công cụ xây dựng cho người dùng để tối ưu hóa chiến lược farm bằng cách tổng hợp các “combo” theo ý thích.
Hacker đã dùng thủ đoạn gì, thiệt hại bao nhiêu?
Kẻ khai thác đã sử dụng hợp đồng chuyển các token đã được phê duyệt đến ví riêng của nó và tweet lên The Block Research vào thứ bảy.
So what happened to Furuсombo👇
— Igor Igamberdiev (@FrankResearcher) February 27, 2021
An attacker using a fake contract made Furuсombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL
Hắn đã tận dụng lỗ hổng của Combo, sử dụng contract giả để lừa ứng dụng rằng đó là một bản cập nhật của Aave V2.
Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021
Mặc dù lỗ hổng này đã được cập nhật ngay sau đó nhưng đã khiến giao thức thiệt hại tổng cộng 15 triệu USD.
Phương thức tấn công lần này sử dụng cùng một phương pháp trong vụ hack 20 triệu USD của Pickle Finance hay Alpha Finance Lab/Cream Finance vào đầu tháng 2 gây thiệt hại vào đầu tháng 2.
Càng ngày các vụ tấn công vào dự án Defi càng nhiều làm giấy lên nghi ngại về sự an toàn khi giao dịch với số tiền lớn trên blockchain.
Cùng theo dõi cập nhật mới nhất trên MarginATM để không bỏ lỡ nhé.