最新的“恶意合同”漏洞已使攻击者获得了超过1400万美元的赃款。

Furucombo是一种旨在帮助用户立即“批量”交易和与多个去中心化金融（DeFi）协议进行交互的工具，它在UTC大约下午4:45成为攻击的受害者，该攻击的重点是用户的令牌批准。

攻击者的地址目前拥有价值1400万美元的各种加密货币，但由于他们在过去一小时内将ETH分批转移到隐私混合器Tornado Cash中，攻击似乎更大。

从概念上讲，此攻击类似于去年对Pickle Finance进行的2000万美元“邪恶之瓶”攻击，以及本月初袭击Alpha Finance的3,700万美元“邪恶法术”攻击。在这些“恶意合同”漏洞中，攻击者创建了一个合同，使协议误以为该协议属于该协议，从而使他们可以使用协议资金。

在这种情况下，攻击者“诱骗”了Furucombo协议，以为他们的合同是Aave的新版本。从那里开始，攻击者没有像以前的恶意合同漏洞那样从协议中消耗资金，而是利用了转移给每个已授予协议令牌权限的用户的资金的功能。

“无限的权限意味着您可以擦拭所有与Furucombo互动的人，”白帽黑客和DeFi Italy Emiliano Bonassi的联合创始人在给Cointelegraph的一份声明中说。

这种攻击似乎越来越流行，现在仅在短短几个月内就损失了超过7,000万美元的用户资金。

该团队在推文中确认了攻击，称他们“认为”他们减轻了漏洞利用，但“出于谨慎考虑，”建议撤销权限：

今天世界标准时间下午4：47，Furucombo代理遭到攻击者的攻击。我们已经取消了相关组件的授权，并认为该漏洞已得到修补，但是我们建议用户出于谨慎考虑删除批准。

— FURUCOMBO（@furucombo）2021年2月27日

用户可以利用revoke.cash之类的工具来这样做。

该攻击发生在DeFi世界对安全性和审计公司的效用进行广泛反思的时期。在过去的三个月中，出现了三种不同的审核和代码审核服务，每种服务都具有旨在鼓励更彻底和动态的安全实践的不同激励模型。