Furucombo 被盜 1400 萬美元啓示錄:切勿過度授權

北京時間 2 月 28 日凌晨,以太坊協議組合工具 Furucombo 智能合約出現一個嚴重漏洞。攻擊者已經利用該漏洞獲利超過 1400 萬美元。

PeckShield (派盾)分析發現,該漏洞與幾天前 Primitive Finance 出現的漏洞原理相同,與用戶的無限授權有關。

由於 Cream Finance 未及時從錢包裏撤銷所有對外部合約的授權,因此受到該漏洞的影響,造成損失約 110 萬美元。

Furucombo 被盜 1400 萬美元啓示錄:切勿過度授權

DeFi 聚合器 Furucombo 於 2020 年 3 月推出,最初只支持 Uniswap V1 交易及 Compound 供應功能。2020 年 12 月,Furucombo 添加連接 Uniswap,Compound 和 Aave 等協議。

其首席執行官 Hsuan-Ting Chu 曾表示:“ Furucombo 不同於 1inch 和 Yearn Finance,Furucombo 聚合各種 DeFi 協議。使用 Furucombo,所有都 ' 無需許可 '。"

同時,Furucombo 允許用戶進行無抵押快速貸款和借入任何數量的資產。

Furucombo 被盜 1400 萬美元啓示錄:切勿過度授權

PeckShield (派盾)通過追蹤和分析發現,Furucombo 協議具有樂高性,此次漏洞與用戶的無限授權有關。首先攻擊者製造了一個攻擊智能合約,並將其運行於易受到攻擊的 Furucombo 代理中;

Furucombo 調用白名單中的 AaveLendingPoolv2 函數,並在函數中附帶攻擊合約地址,調用 AaveLendingPoolv2::initialize ()函數,該函數可進一步調用提供的攻擊合約;

最後,在用戶未撤銷授權的情況下,攻擊者可通過攻擊 Furucombo 代理,盜取用戶錢包裏的資產。

在流動性挖礦的引領下,DeFi 於 2020 年再次起飛,併成爲金融革新的焦點,在這一領域的玩法也越發多樣。由於協議內存放着各類有價資產,讓 DeFi 亦成爲被攻擊的重災區。

PeckShield 安全專家表示:“DeFi 聚合器 Furucombo 把樂高性玩到極致的同時,對每個環節的審計更是至關重要,新的組合會不斷變化和適應,這就要求對合約進行定期的、持續的安全審計,而不是在啓動前打勾。”

在處理資產時,需謹慎授權。DeFi 正經歷一個前所未有的增長時期,在這個時期,信任的成本非常高。

隨着 DeFi 行業規模迅猛增長,尤其是業務和運營合作上的不斷髮力,組合過程中潛在的安全問題會愈發凸顯出來。黑客在攻擊某一 DeFi 合約漏洞獲利後,會利用同原理的漏洞對其他 DeFi 合約進行依次攻擊。

PeckShield (派盾)提示各 DeFi 合約,一旦發生攻擊事件後,應自查代碼,如果對此不瞭解,及時找專業的審計機構進行審計和研究,防患於未然。

Furucombo 被盜 1400 萬美元啓示錄:切勿過度授權