Giao thức phân lô giao dịch Furucombo bị hack “hợp đồng xấu” trị giá 14 triệu đô la

Cuộc tấn công mới nhất dựa trên quyền của người dùng được cấp cho giao thức

Vụ khai thác “hợp đồng xấu xa” mới nhất đã thu được của kẻ tấn công hơn 14 triệu đô la tiền bị đánh cắp. 

Furucombo, một công cụ được thiết kế để giúp người dùng thực hiện các giao dịch và tương tác “hàng loạt” với nhiều giao thức tài chính phi tập trung (DeFi) cùng một lúc, đã trở thành nạn nhân của cuộc tấn công vào khoảng 4:45 chiều UTC, tập trung vào việc phê duyệt mã thông báo từ người dùng.

Địa chỉ của kẻ tấn công hiện có 14 triệu đô la tiền điện tử khác nhau, nhưng cuộc tấn công có vẻ lớn hơn vì chúng đã chuyển ETH sang máy trộn quyền riêng tư Tornado Cash theo lô trong giờ qua.

Cuộc tấn công này về mặt khái niệm tương tự như cuộc tấn công “cái lọ ác” trị giá 20 triệu đô la đã xảy ra với Pickle Finance vào năm ngoái, cũng như vụ khai thác “bùa chú” trị giá 37 triệu đô la đã tấn công Alpha Finance vào đầu tháng này. Trong các khai thác “hợp đồng xấu” này, kẻ tấn công tạo ra một hợp đồng đánh lừa một giao thức tin rằng nó thuộc về nơi đó, cho họ quyền truy cập vào quỹ giao thức.

Trong trường hợp này, kẻ tấn công đã ‘lừa’ giao thức Furucombo nghĩ rằng hợp đồng của họ là một phiên bản mới của Aave. Từ đó, thay vì rút tiền từ giao thức như trong các lần khai thác hợp đồng xấu trước đây, kẻ tấn công thay vào đó tận dụng khả năng chuyển tiền của mọi người dùng đã cấp quyền cho mã thông báo giao thức. 

“Quyền vô hạn có nghĩa là bạn có thể xóa sạch tất cả những ai đã tương tác với Furucombo”, hacker whitehat và đồng sáng lập của DeFi Italy Emiliano Bonassi cho biết trong một tuyên bố với Cointelegraph.

Kiểu khai thác này dường như đang ngày càng trở nên phổ biến, hiện chiếm hơn 70 triệu đô la trong quỹ người dùng bị mất chỉ trong vài tháng.

Nhóm đã xác nhận cuộc tấn công trong một Tweet, nói rằng họ “tin rằng” họ sẽ giảm thiểu việc khai thác nhưng đề nghị thu hồi quyền “hết sức thận trọng:”

Người dùng có thể tận dụng các công cụ như revoke.cash để làm như vậy. 

Cuộc tấn công xảy ra trong một thời kỳ phản ánh rộng rãi hơn trong thế giới DeFi về bảo mật và tiện ích của các công ty kiểm toán. Trong ba tháng qua, ba dịch vụ kiểm toán và soát xét mã khác nhau đã xuất hiện , mỗi dịch vụ có một mô hình khuyến khích khác nhau được thiết kế để khuyến khích các thực hành bảo mật kỹ lưỡng và năng động hơn.

BÀI VIẾT TƯƠNG TỰ

BÌNH LUẬN

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

Quảng cáo

PHỔ BIẾN NHẤT

Sau BlockFi, New Jersey và Texas nhắm mục tiêu vào các tài khoản lãi suất tiền điện tử của Celsius

Vào ngày 17 tháng 9, cơ quan quản lý chứng khoán của New Jersey đã ra lệnh cho nền tảng cho vay tiền điện tử Celsius...

Kỹ sư cấp cao của Coinbase Luke Youngblood tham gia Giao thức BENQI với tư cách là Cố vấn chiến lược

Kỹ sư Luke Youngblood của Coinbase sẽ tham gia BENQI Protocol với tư cách là cố vấn chiến lược. BENQI bổ nhiệm nhân viên của...

Chính trị gia Canada nói rằng ông ủng hộ Bitcoin khi việc bầu cử liên bang sắp đến

Maxime Bernier, người sáng lập và lãnh đạo Đảng Nhân dân Canada, cho biết ông ủng hộ việc áp dụng tiền điện tử trong...