最新の「悪意のある契約」エクスプロイトにより、攻撃者は $14 盗まれた資金の百万.
フルコンボ, ユーザーがトランザクションと複数のプロトコルとの相互作用を一度に「バッチ処理」できるように設計されたツール, ユーザーからのトークン承認を中心とした攻撃の犠牲になりました.
攻撃者のアドレスは現在 $14 百万はさまざまな暗号通貨です, しかし、過去1時間にETHをプライバシーミキサーTornado Cashにバッチで転送しているため、攻撃はより大きくなっているようです。.
この攻撃は概念的には $20 昨年ピクルスファイナンスを襲った百万の「邪悪な瓶」攻撃, だけでなく、 $37 今月初めにAlphaFinanceを襲った100万の「邪悪な呪文」エクスプロイト. これらの「邪悪な契約」の悪用では, 攻撃者は、プロトコルをだまして、プロトコルがそこに属していると信じ込ませるコントラクトを作成します, 彼らにプロトコル資金へのアクセスを与える.
それで、フルコンボに何が起こったのか
偽の契約を使用している攻撃者は、FuruсomboにAavev2に新しい実装があると思わせました.
このため, 「Aavev2」とのすべてのやり取りで、承認されたトークンを任意のアドレスに転送できます. pic.twitter.com/gQVxJqiAmL-Igor Igamberdiev (@FrankResearcher) 2月 27, 2021
この場合, 攻撃者はFurucomboプロトコルを「だまして」、彼らの契約はAaveの新しいバージョンであると考えさせました。. そこから, 以前の邪悪な契約の悪用のようにプロトコルから資金を排出する代わりに, 代わりに、プロトコルトークンのアクセス許可を与えたすべてのユーザーの資金を利用する機能を活用しました.
「無限の権限は、フルコンボとやり取りしたすべての人をワイプできることを意味します,ホワイトハットハッカーであり、DeFiItalyの共同創設者であるCointelegraphへの声明の中で述べています。.
このエクスプロイトタイプはますます人気が高まっているようです, 今以上を説明しています $70 わずか数か月で数百万のユーザー資金が失われました.
チームはツイートで攻撃を確認しました, 彼らはエクスプロイトを軽減したと「信じている」と述べたが、「十分な注意を払って」許可を取り消すことを推奨した:」
今日は 4:47 協定世界時PMUTCフルコンボプロキシが攻撃者によって侵害されました. 関連するコンポーネントの認証を解除し、脆弱性にパッチを適用すると考えていますが、十分な注意を払って承認を削除することをお勧めします.
-フルコンボ (@furucombo) 2月 27, 2021
ユーザーはrevoke.cashなどのツールを活用してこれを行うことができます.
この攻撃は、セキュリティと監査会社の有用性に関するDeFiの世界での幅広い反省の時期に発生します。. 過去3か月で, 3つの異なる監査およびコードレビューサービスが登場しました, それぞれが、より徹底的で動的なセキュリティ慣行を奨励するように設計された異なるインセンティブモデルを備えています.
広告をブロックしましょう! (なぜ?)
ソース: コインテレグラフ
