Giao thức phân lô giao dịch Furucombo bị hack “hợp đồng xấu” trị giá 14 triệu đô la

Cuộc tấn công mới nhất dựa trên quyền của người dùng được cấp cho giao thức

Vụ khai thác “hợp đồng xấu xa” mới nhất đã thu được của kẻ tấn công hơn 14 triệu đô la tiền bị đánh cắp.

Furucombo, một công cụ được thiết kế để giúp người dùng thực hiện các giao dịch và tương tác “hàng loạt” với nhiều giao thức tài chính phi tập trung (DeFi) cùng một lúc, đã trở thành nạn nhân của cuộc tấn công vào khoảng 4:45 chiều UTC, tập trung vào việc phê duyệt mã thông báo từ người dùng.

Địa chỉ của kẻ tấn công hiện có 14 triệu đô la tiền điện tử khác nhau, nhưng cuộc tấn công có vẻ lớn hơn vì chúng đã chuyển ETH sang máy trộn quyền riêng tư Tornado Cash theo lô trong giờ qua.

Cuộc tấn công này về mặt khái niệm tương tự như cuộc tấn công “cái lọ ác” trị giá 20 triệu đô la đã xảy ra với Pickle Finance vào năm ngoái, cũng như vụ khai thác “bùa chú” trị giá 37 triệu đô la đã tấn công Alpha Finance vào đầu tháng này. Trong các khai thác “hợp đồng xấu” này, kẻ tấn công tạo ra một hợp đồng đánh lừa một giao thức tin rằng nó thuộc về nơi đó, cho phép chúng truy cập vào quỹ giao thức.

Trong trường hợp này, kẻ tấn công đã ‘lừa’ giao thức Furucombo nghĩ rằng hợp đồng của họ là một cơ quan mới của Aave. Từ đó, thay vì rút tiền từ giao thức như trong các lần khai thác hợp đồng xấu trước đây, kẻ tấn công thay vào đó tận dụng khả năng chuyển tiền của mọi người dùng đã cấp quyền cho mã thông báo giao thức.

“Quyền vô hạn có nghĩa là bạn có thể xóa sạch tất cả những ai đã tương tác với Furucombo,” hacker whitehat và đồng sáng lập của DeFi Italy Emiliano Bonassi cho biết trong một tuyên bố với Cointelegraph.

Kiểu khai thác này dường như đang ngày càng trở nên phổ biến, hiện chiếm hơn 70 triệu đô la trong quỹ người dùng bị mất chỉ trong vài tháng.

Nhóm đã xác nhận cuộc tấn công trong một Tweet, nói rằng họ “tin rằng” họ sẽ giảm thiểu việc khai thác nhưng đề nghị thu hồi quyền “hết sức thận trọng:”

Người dùng có thể tận dụng các công cụ như revoke.cash để làm như vậy.

Cuộc tấn công xảy ra trong một thời kỳ phản ánh rộng rãi hơn trong thế giới DeFi về bảo mật và tiện ích của các công ty kiểm toán. Trong ba tháng qua, ba dịch vụ kiểm toán và soát xét mã khác nhau đã xuất hiện, mỗi dịch vụ có một mô hình khuyến khích khác nhau được thiết kế để khuyến khích các thực hành bảo mật kỹ lưỡng và năng động hơn.

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Bài viết liên quan