最新的“恶意合同”漏洞已使攻击者获得了超过1400万美元的赃款。 Furucombo是一种旨在帮助用户立即“批量”交易和与多个去中心化金融(DeFi)协议进行交互的工具,它在UTC大约下午4:45成为攻击的受害者,该攻击的重点是用户的令牌批准。 攻击者的地址目前拥有价值1400万美元的各种加密货币,但由于他们在过去一小时内将ETH分批转移到隐私混合器Tornado Cash中,攻击似乎更大。 从概念上讲,此攻击类似于去年对Pickle Finance进行的2000万美元“邪恶之瓶”攻击,以及本月初袭击Alpha Finance的3,700万美元“邪恶法术”攻击。在这些“恶意合同”漏洞中,攻击者创建了一个合同,使协议误以为该协议属于该协议,从而使他们可以使用协议资金。 在这种情况下,攻击者“诱骗”了Furucombo协议,以为他们的合同是Aave的新版本。从那里开始,攻击者没有像以前的恶意合同漏洞那样从协议中消耗资金,而是利用了转移给每个已授予协议令牌权限的用户的资金的功能。 “无限的权限意味着您可以擦拭所有与Furucombo互动的人,”白帽黑客和DeFi Italy Emiliano Bonassi的联合创始人在给Cointelegraph的一份声明中说。 这种攻击似乎越来越流行,现在仅在短短几个月内就损失了超过7,000万美元的用户资金。 该团队在推文中确认了攻击,称他们“认为”他们减轻了漏洞利用,但“出于谨慎考虑,”建议撤销权限: 今天世界标准时间下午4:47,Furucombo代理遭到攻击者的攻击。我们已经取消了相关组件的授权,并认为该漏洞已得到修补,但是我们建议用户出于谨慎考虑删除批准。 — FURUCOMBO(@furucombo)2021年2月27日 用户可以利用revoke.cash之类的工具来这样做。
该攻击发生在DeFi世界对安全性和审计公司的效用进行广泛反思的时期。在过去的三个月中,出现了三种不同的审核和代码审核服务,每种服务都具有旨在鼓励更彻底和动态的安全实践的不同激励模型。 (责任编辑:admin) |