Giao thức DeFi Furucombo bị hack 14 triệu đô la bởi “hợp đồng xấu”

Updated: 28/02/2021 at 9:27

Vụ tấn công “hợp đồng xấu – evil contract” mới nhất đã đem về cho hacker hơn 14 triệu đô la.

Furucombo là một công cụ được thiết kế để giúp người dùng thực hiện các giao dịch và tương tác hàng loạt với nhiều giao thức DeFi cùng một lúc, đã trở thành nạn nhân của cuộc tấn công vào khoảng 4:45 chiều UTC (11:45 đêm qua theo giờ Việt Nam), tập trung vào việc phê duyệt token từ người dùng.

Địa chỉ của kẻ tấn công hiện có 14 triệu đô la tiền điện tử khác nhau, nhưng cuộc tấn công có vẻ lớn hơn vì chúng đã chuyển ETH sang máy trộn Tornado Cash theo lô trong một giờ qua.

Cuộc tấn công này về mặt khái niệm tương tự như cuộc tấn công “evil jar – lọ ác” trị giá 20 triệu đô la đã tấn công Pickle Finance vào năm ngoái, cũng như vụ “evil spell – bùa mê thuốc lú” trị giá 37 triệu đô la đã tấn công Alpha Finance vào đầu tháng này. Trong các cuộc tấn công “hợp đồng xấu” này, hacker tạo ra một hợp đồng để đánh lừa một giao thức, khiến giao thức đó tin rằng nó thuộc về nơi đó, cho họ quyền truy cập vào quỹ giao thức.

“Vậy điều gì đã xảy ra với Furuсombo

Kẻ tấn công sử dụng hợp đồng giả khiến Furuсombo nghĩ rằng Aave v2 có một triển khai mới.

Do đó, tất cả các tương tác với Aave v2 đều cho phép chuyển các token được chấp thuận đến một địa chỉ tùy ý”.

Trong trường hợp này, hacker đã lừa giao thức Furucombo để khiến nó nghĩ rằng hợp đồng của họ là một cơ quan mới của Aave. Từ đó, thay vì rút tiền từ giao thức như trong các cuộc tấn công hợp đồng xấu trước đây, kẻ tấn công thay vào đó tận dụng khả năng chuyển tiền của mọi người dùng đã cấp quyền cho token giao thức.

“Quyền vô hạn có nghĩa là bạn có thể xóa sạch tất cả những ai đã tương tác với Furucombo”, hacker mũ trắng và đồng sáng lập của DeFi Italy Emiliano Bonassi cho biết.

Kiểu tấn công này dường như đang ngày càng trở nên phổ biến, hiện chiếm hơn 70 triệu đô la trong quỹ người dùng bị mất chỉ trong vài tháng.

Team đã xác nhận cuộc tấn công trong một tweet, tin rằng họ sẽ giảm thiểu việc tấn công nhưng đề nghị thu hồi quyền “một cách thận trọng”:

“Hôm nay, lúc 4:47 chiều giờ UTC, proxy Furucombo đã bị kẻ tấn công xâm phạm. Chúng tôi đã hủy cấp phép các thành phần có liên quan và tin rằng lỗ hổng bảo mật cần được vá nhưng chúng tôi khuyên người dùng nên loại bỏ các phê duyệt một cách thận trọng”.

Người dùng có thể tận dụng các tool như revoke.cash để làm như vậy.

Cuộc tấn công xảy ra trong một thời kỳ phản ánh về bảo mật và tiện ích của các công ty kiểm toán trong thế giới DeFi. Chỉ 3 tháng qua, 3 dịch vụ kiểm toán và duyệt code khác nhau đã xuất hiện, mỗi dịch vụ có một mô hình khuyến khích khác nhau được thiết kế để khuyến khích các thực hành bảo mật kỹ lưỡng và năng động hơn.

Ông Giáo

Theo Cointelegraph

Được đề cập trong bài viết
Bình luận
Đang tải
Mới cập nhật

Một làn sóng sa thải mới đang lan rộng khắp các ngành công nghiệp vào năm 2025, báo hiệu rằng thị trường lao động có thể đang tiến vào giai đoạn hỗn loạn tồi tệ nhất kể từ cuộc suy thoái do đại dịch. Điều này một lần nữa làm... ...

Thị trường trái phiếu kho bạc Mỹ đang phải đối mặt với một mối đe dọa mới, và điều này không xuất phát từ Phố Wall hay các chính phủ nước ngoài, mà từ stablecoin. Theo thông tin từ Reuters, khi thế giới tiền điện tử ngày càng tiến gần... ...

Con trai lớn của Tổng thống Mỹ Donald Trump, Eric Trump, đã tiết lộ quan hệ hợp tác giữa World Liberty Financial (WLFI) và memecoin TRUMP. Vì cả hai hệ sinh thái đều lấy cảm hứng từ gia đình anh, cụ thể là từ chính Donald Trump, nên nhiều thành... ...

Sau khi Bitcoin bật tăng lên mức đỉnh kỷ lục 112.000 USD, kỳ vọng về việc chạm mốc 150.000 USD trước khi năm 2025 kết thúc lại được thổi bùng. Tuy nhiên, cú điều chỉnh nhanh chóng xuống dưới ngưỡng 105.000 USD đang khiến triển vọng breakout trở nên mong... ...

Trong thế giới crypto, không có gì ngạc nhiên khi meme coin đã trở thành một trong những phân khúc nổi bật nhất, thu hút sự chú ý của không chỉ các nhà đầu tư mà còn của những người đam mê công nghệ. Những đồng tiền bắt nguồn từ... ...

Theo nhà phân tích nổi tiếng Michaël van de Poppe, thị trường crypto hiện tại chưa phải là mùa của các altcoin, và Bitcoin vẫn tiếp tục chiếm ưu thế trong bức tranh tổng thể. Trong một bài đăng gần đây, van de Poppe giải thích rằng sự thống trị... ...

Tổng thống Mỹ Donald Trump một lần nữa châm ngòi cho những cuộc tranh luận về khả năng thay thế Chủ tịch Cục Dự trữ Liên bang Mỹ (Fed) – Jerome Powell. Động thái này đã gây chấn động cả thị trường tài chính truyền thống lẫn tiền điện tử,... ...

Mask Network (MASK) bất ngờ trở thành nạn nhân trong “cuộc ly hôn” đầy tai tiếng giữa Tổng thống Donald Trump và tỷ phú Elon Musk. Mối quan hệ “bằng hữu kỹ thuật số” từng gắn bó giữa hai ông lớn vốn là những người ủng hộ nhiệt thành tiền... ...

Mặc dù giá Bitcoin sụt giảm gần đây – dao động quanh 104.847 đô la sau khi tăng 1,5% trong 24 giờ tính đến thời điểm viết bài, sự quan tâm từ các nhà đầu tư tổ chức vẫn không hề suy giảm. Các tổ chức tìm đến Bitcoin như... ...

Trong thời gian gần đây, token PI của Pi Network – một trong những đồng tiền điện tử được mong đợi nhất – đã dần đi vào quên lãng trong cộng đồng đầu tư bán lẻ. Mặc dù ban đầu có một làn sóng cường điệu mạnh mẽ về tiềm... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode