![区块链交易所](https://175.178.95.144/qu/d/file/exchange/negocie-coins.png alt="Negocie Coins的Logo">)
区块链交易所
![区块链交易所](https://175.178.95.144/qu/d/file/exchange/ripple-china.png alt="Ripple China的Logo">)
交易批处理协议Furucombo遭受1400万美元的“恶意合同”黑客攻击
发布:中币网 时间:2021-02-28 00:00:00 加入收藏 打赏
最新的“恶意合同”漏洞已使攻击者获得了超过1400万美元的赃款。
Furucombo是一种旨在帮助用户立即“批量”交易和与多个协议进行交互的工具,该攻击以用户的令牌批准为中心成为了攻击的受害者。
攻击者的地址目前有1400万美元是各种加密货币,但由于他们在过去一小时内将ETH分批转移到隐私混合器Tornado Cash中,攻击似乎更大。
从概念上讲,此攻击类似于去年对Pickle Finance进行的2000万美元“邪恶之瓶”攻击,以及本月初袭击Alpha Finance的3,700万美元“邪恶法术”攻击。 在这些“恶意合同”漏洞中,攻击者创建了一个合同,使协议认为其属于该协议,从而使他们可以使用协议资金。
那么Furuсombo发生了什么
攻击者使用虚假合同使Furuсombo认为Aave v2具有新的实现。
因此,与“ Aave v2”的所有交互都允许将批准的令牌转移到任意地址。 pic.twitter.com/gQVxJqiAmL— Igor Igamberdiev(@FrankResearcher)2021年2月27日
在这种情况下,攻击者“诱骗”了Furucombo协议,以为他们的合同是Aave的新版本。 从那里开始,他们没有像以前的恶意合同漏洞那样从协议中耗费资金,而是利用了为拥有协议令牌许可权的每个用户收取资金的能力。
“无限的权限意味着您可以擦除与Furucombo进行交互的每个人,” whitehat黑客和DeFi Italy的联合创始人在给Cointelegraph的一份声明中说。
这种漏洞利用类型似乎越来越流行,现在仅在短短几个月内就损失了超过7,000万美元的用户资金。
小组在推文中确认了攻击,称他们“认为”他们减轻了漏洞利用,但“出于谨慎考虑,”建议撤销许可:
今天世界标准时间下午4:47,Furucombo代理遭到攻击者的攻击。 我们已经取消了相关组件的授权,并认为该漏洞已得到修补,但是我们建议用户出于谨慎考虑而删除批准。
— FURUCOMBO(@furucombo)2021年2月27日
用户可以利用revoke.cash之类的工具来这样做。
该攻击发生在DeFi世界对安全性和审计公司的效用进行广泛反思的时期。 在过去的三个月中,已经出现了三种不同的审核和代码审核服务,每种服务都具有旨在鼓励更彻底和动态的安全实践的不同激励模型。
来源:https://cointelegraph.com/news/transaction-batching-protocol
来源:中币网 https://www.zhongbi.net/news/blocknews/309352.html 声明:登载此文仅出于分享区块链知识,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。 此文如侵犯到您的合法权益,请联系我们3111859717@qq.com,我们将第一时间处理。
