Protocolo de transações em lote Furucombo sofre hack de “contrato maligno” de US$ 14 milhões

O último ataque dependeu com as permissões do usuário concedidas ao protocolo

O último exploit de “contrato maligno” rendeu a um invasor mais de US$ 14 milhões em fundos roubados.

Furucombo, uma ferramenta projetada para ajudar os usuários a transações em “lote” e interações com vários protocolos financeiros descentralizados (DeFi) ao mesmo tempo, foi vítima do ataque por volta das 16h45 UTC, que se concentrava na aprovação de tokens dos usuários.

O endereço do invasor atualmente tem US$ 14 milhões em várias criptomoedas, mas o ataque parece ser maior, pois eles transferiram ETH para o mixer de privacidade Tornado Cash em lotes nas últimas horas.

Este ataque é conceitualmente semelhante ao ataque de “jarro do mal” (‘jarro’ é o termo usado pelo protocolo para um cofre de rendimento) de US$ 20 milhões que atingiu a Pickle Finance no ano passado, bem como ao exploit de “feitiço maligno” (termo da marca Alpha para um contrato inteligente) de US$ 37 milhões que atingiu a Alpha Finance no início deste mês. Nessas explorações de “contrato maligno”, um invasor cria um contrato que engana um protocolo fazendo-o acreditar que pertence a ele, dando-lhe acesso aos fundos do protocolo.

Neste caso, o invasor “enganou” o protocolo Furucombo fazendo-o pensar que seu contrato era uma nova versão de Aave. A partir daí, em vez de drenar fundos do protocolo como em exploits de contratos malignos anteriores, o invasor aproveitou a capacidade de transferir os fundos de todos os usuários que deram as permissões de token de protocolo.

“Permissões infinitas significam que você pode apagar todos que interagiram com Furucombo”, disse o hacker whitehat e co-fundador da DeFi Italy Emiliano Bonassi em um comunicado ao Cointelegraph.

Este tipo de exploração parece estar se tornando cada vez mais popular, agora respondendo por mais de US$ 70 milhões em fundos de usuários perdidos em apenas alguns meses.

A equipe confirmou o ataque em um tweet, dizendo que “acreditavam” que haviam mitigado a exploração, mas recomendou revogar as permissões “por precaução”:

Os usuários podem utilizar ferramentas como revoke.cash para fazer isso.

O ataque ocorre durante um período de reflexão mais ampla no mundo DeFi sobre a segurança e a utilidade das empresas de auditoria. Nos últimos três meses, surgiram três serviços diferentes de auditoria e revisão de código, cada um com um modelo de incentivo diferente projetado para encorajar práticas de segurança mais completas e dinâmicas.

Leia mais:

Você pode gostar...