Le protocole de traitement par lots Furucombo subit un piratage de 14 millions de dollars en termes de «contrat diabolique»

Le protocole de traitement par lots Furucombo subit un piratage de 14 millions de dollars en termes de «contrat diabolique»

Fbs crypto

Le dernier exploit du «contrat pervers» a rapporté à un attaquant plus de 14 millions de dollars de fonds volés.

Furucombo, un outil conçu pour aider les utilisateurs à «grouper» les transactions et les interactions avec plusieurs protocoles de finance décentralisée (DeFi) à la fois, a été victime de l’attaque vers 16 h 45 UTC, centrée sur les approbations de jetons des utilisateurs.

L’adresse de l’attaquant contient actuellement 14 millions de dollars de différentes crypto-monnaies, mais l’attaque semble être plus importante car ils ont transféré l’ETH au mélangeur de confidentialité Tornado Cash par lots au cours de la dernière heure.

Cette attaque est conceptuellement similaire à l’attaque de 20 millions de dollars du «mauvais pot» qui a frappé Pickle Finance l’année dernière, ainsi qu’à l’exploit de 37 millions de dollars du «mauvais sort» qui a frappé Alpha Finance au début du mois. Dans ces exploits de «contrat pervers», un attaquant crée un contrat qui trompe un protocole en lui faisant croire qu’il y appartient, lui donnant ainsi accès aux fonds du protocole.

Dans ce cas, l’attaquant a «trompé» le protocole Furucombo en lui faisant croire que son contrat était une nouvelle version d’Aave. À partir de là, au lieu de drainer des fonds du protocole comme dans les précédents exploits de contrats pervers, l’attaquant a plutôt exploité la capacité de transférer les fonds de chaque utilisateur qui avait donné les autorisations de jeton de protocole.

«Des autorisations infinies signifient que vous pouvez effacer tous ceux qui ont interagi avec Furucombo», a déclaré le hacker whitehat et co-fondateur de DeFi Italy Emiliano Bonassi dans une déclaration à Crypto.

Ce type d’exploit semble devenir de plus en plus populaire, représentant désormais plus de 70 millions de dollars de fonds d’utilisateurs perdus en quelques mois seulement.

L’équipe a confirmé l’attaque dans un Tweet, affirmant qu’elle “croyait” avoir atténué l’exploit, mais a recommandé de révoquer les autorisations “par prudence:”

Les utilisateurs peuvent utiliser des outils tels que revoke.cash pour ce faire.

L’attaque intervient au cours d’une période de réflexion plus large dans le monde DeFi sur la sécurité et l’utilité des entreprises d’audit. Au cours des trois derniers mois, trois différents services d’audit et de révision de code ont vu le jour, chacun avec un modèle d’incitation différent conçu pour encourager des pratiques de sécurité plus approfondies et plus dynamiques.