北京时间2月28日凌晨消息,以太坊协议组合工具FuruCombo智能合约出现严重漏洞。攻击者利用该漏洞获利超过1400万美元。
据peckshield分析,该漏洞的原理与日前的primitive finance相同,与用户的无限授权有关。
由于奶油金融未能及时从钱包中撤销所有对外合同,因此受到该漏洞的影响,造成约110万美元的损失。
Furucombo,DeFi聚合器,于2020年3月推出。最初,它只支持Uniswap V1交易和复合供应功能。2020年12月,FuruCombo增加了连接Uniswap、compound和AAVE的协议。
其首席执行官许廷柱(hsuanting Chu)曾表示:“FuruCombo不同于1INCH和1年期的金融。Furucombo整合了各种DeFi协议。对于FuruCombo,不需要许可证;。quot;
同时,FuruCombo允许用户在没有抵押品的情况下快速贷款,并借入任何数量的资产。
通过跟踪分析,peckshield发现FuruCombo协议是LEGO协议。此漏洞与用户的无限授权有关。首先,攻击者创建一个攻击智能合约并在易受攻击的FuruCombo**中运行;
Furucombo调用白名单中的aavelengpoolv2函数,并将攻击契约地址附加到该函数。调用aavelengpoolv2:initialize()函数,进一步调用提供的攻击契约;
**,如果用户没有撤销授权,攻击者可以通过攻击FuruCombo**窃取用户钱包中的资产。
在流动性挖矿的指引下,DeFi将在2020年再度腾飞,成为金融创新的重点,在这一领域的发挥方式将越来越多样化。由于在协议内存中有各种有价值的资产,DeFi也成为最受打击的领域。
Peckshield安全专家说:“虽然DeFi聚合器FuruCombo将LEGO发挥到了**,但对每个环节的审核更为重要。新的组合将不断变化和适应,这需要定期和持续地对合同进行安全审计,而不是在开始前进行检查。”
在处理资产时,需要仔细授权。Defi正经历一个前所未有的增长期,在这个时期,信任的成本非常高。
随着DeFi行业规模的快速增长,特别是业务和运营合作的不断发展,在合并过程中潜在的安全问题将日益突出。黑客通过攻击某个DeFi合约漏洞获利后,会使用同样的原理依次攻击其他DeFi合约。
Peckshield建议每个DeFi契约都应该检查其代码以防受到攻击。如果你不知道,你应该找一个专业的审计机构及时进行审计和研究,并采取预防措施。
文章链接:https://www.btchangqing.cn/201426.html
更新时间:2021年03月01日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
