Giao thức DeFi Furucombo bị hack 14 triệu đô la bởi “hợp đồng xấu”

Updated: 28/02/2021 at 9:27

Vụ tấn công “hợp đồng xấu – evil contract” mới nhất đã đem về cho hacker hơn 14 triệu đô la.

Furucombo là một công cụ được thiết kế để giúp người dùng thực hiện các giao dịch và tương tác hàng loạt với nhiều giao thức DeFi cùng một lúc, đã trở thành nạn nhân của cuộc tấn công vào khoảng 4:45 chiều UTC (11:45 đêm qua theo giờ Việt Nam), tập trung vào việc phê duyệt token từ người dùng.

Địa chỉ của kẻ tấn công hiện có 14 triệu đô la tiền điện tử khác nhau, nhưng cuộc tấn công có vẻ lớn hơn vì chúng đã chuyển ETH sang máy trộn Tornado Cash theo lô trong một giờ qua.

Cuộc tấn công này về mặt khái niệm tương tự như cuộc tấn công “evil jar – lọ ác” trị giá 20 triệu đô la đã tấn công Pickle Finance vào năm ngoái, cũng như vụ “evil spell – bùa mê thuốc lú” trị giá 37 triệu đô la đã tấn công Alpha Finance vào đầu tháng này. Trong các cuộc tấn công “hợp đồng xấu” này, hacker tạo ra một hợp đồng để đánh lừa một giao thức, khiến giao thức đó tin rằng nó thuộc về nơi đó, cho họ quyền truy cập vào quỹ giao thức.

“Vậy điều gì đã xảy ra với Furuсombo

Kẻ tấn công sử dụng hợp đồng giả khiến Furuсombo nghĩ rằng Aave v2 có một triển khai mới.

Do đó, tất cả các tương tác với Aave v2 đều cho phép chuyển các token được chấp thuận đến một địa chỉ tùy ý”.

Trong trường hợp này, hacker đã lừa giao thức Furucombo để khiến nó nghĩ rằng hợp đồng của họ là một cơ quan mới của Aave. Từ đó, thay vì rút tiền từ giao thức như trong các cuộc tấn công hợp đồng xấu trước đây, kẻ tấn công thay vào đó tận dụng khả năng chuyển tiền của mọi người dùng đã cấp quyền cho token giao thức.

“Quyền vô hạn có nghĩa là bạn có thể xóa sạch tất cả những ai đã tương tác với Furucombo”, hacker mũ trắng và đồng sáng lập của DeFi Italy Emiliano Bonassi cho biết.

Kiểu tấn công này dường như đang ngày càng trở nên phổ biến, hiện chiếm hơn 70 triệu đô la trong quỹ người dùng bị mất chỉ trong vài tháng.

Team đã xác nhận cuộc tấn công trong một tweet, tin rằng họ sẽ giảm thiểu việc tấn công nhưng đề nghị thu hồi quyền “một cách thận trọng”:

“Hôm nay, lúc 4:47 chiều giờ UTC, proxy Furucombo đã bị kẻ tấn công xâm phạm. Chúng tôi đã hủy cấp phép các thành phần có liên quan và tin rằng lỗ hổng bảo mật cần được vá nhưng chúng tôi khuyên người dùng nên loại bỏ các phê duyệt một cách thận trọng”.

Người dùng có thể tận dụng các tool như revoke.cash để làm như vậy.

Cuộc tấn công xảy ra trong một thời kỳ phản ánh về bảo mật và tiện ích của các công ty kiểm toán trong thế giới DeFi. Chỉ 3 tháng qua, 3 dịch vụ kiểm toán và duyệt code khác nhau đã xuất hiện, mỗi dịch vụ có một mô hình khuyến khích khác nhau được thiết kế để khuyến khích các thực hành bảo mật kỹ lưỡng và năng động hơn.

Ông Giáo

Theo Cointelegraph

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Bitcoin ghi nhận biến động mạnh vào đầu tuần, khi các đợt rung lắc dữ dội từ cuối tuần trước đến thứ 2 đã kích hoạt làn sóng “thanh lọc” lớn trên thị trường phái sinh. Theo dữ liệu từ Glassnode, 28,6 triệu đô la vị thế Long và 25,2... ...

Giá SUI bật tăng 4% trong phiên giao dịch ngày thứ Sáu, trong bối cảnh blockchain Layer-1 này chuẩn bị “xả kho” lượng token trị giá tới 119 triệu USD – chiếm tỷ trọng lớn nhất trong tổng giá trị các đợt mở khóa token dự kiến diễn ra vào... ...

Token gốc SOL của Solana đã giảm 15% kể từ khi không thể lấy lại mức $168 vào ngày 12 tháng 6. Biến động này diễn ra sau khi hoạt động mạng lưới giảm và nhu cầu về memecoin suy yếu. Tuy nhiên, gần đây, Solana (SOL) đã giành lại... ...

Ethereum (ETH) đã giảm 1% trong 24 giờ qua, khi tiếp tục bị ngưỡng kháng cự mạnh tại mốc $2.500 chặn đứng đà phục hồi. Đà điều chỉnh này diễn ra ngay sau tuyên bố bất ngờ của Tổng thống Mỹ Donald Trump về việc chấm dứt các cuộc đàm... ...

Sau khi giảm xuống dưới $99.000 trong thời gian ngắn, Bitcoin (BTC) đã lấy lại mức $107.000, thúc đẩy hy vọng về breakout sắp xảy ra. Tuy nhiên, có điều gì đó không ổn. Không có FOMO và không có sự đổ xô mua vào từ các nhà đầu tư... ...

Giữa “mùa đông altcoin”, các công ty tiền điện tử như Coinbase, Circle và Robinhood lại đang nổi bật hơn cả những token hàng đầu. Thậm chí, hiệu suất của Bitcoin cũng kém hơn so với chính các công ty thường xuyên tích lũy nó. Xu hướng này được thúc... ...

Sau khi thiết lập đỉnh lịch sử ở mức $3,40 vào tháng 1, XRP chỉ ghi nhận mức sinh lời khiêm tốn trong những tháng gần đây. Dù vẫn duy trì được mức đóng cửa nến tháng trên $2 kể từ tháng 12/2024, khối lượng giao dịch XRP trên sàn... ...

Một trader trên nền tảng Hyperliquid đã âm thầm biến tài khoản 6.800 USD thành hơn 1,5 triệu USD lợi nhuận — tất cả mà không cần đặt cược theo hướng thị trường hay đuổi theo các biến động giá mạnh. Theo dữ liệu ví từ địa chỉ 0x6f90…336a, trader... ...

Bitcoin (BTC) đang gặp phải lực bán đáng kể quanh ngưỡng $108.000, song một tín hiệu tích cực là phe bò vẫn kiên quyết không để giá trượt xuống dưới mốc hỗ trợ quan trọng $105.000. Điều này cho thấy lực mua vẫn được duy trì, phản ánh niềm tin... ...

Robinhood vừa mở rộng danh mục giao dịch hợp đồng tương lai với việc ra mắt các sản phẩm hợp đồng tương lai vi mô dành cho XRP, Solana (SOL) và Bitcoin (BTC), theo thông báo ngày 27/6. Nền tảng giao dịch không tính hoa hồng này cho biết các... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode