Lưu ý của biên tập viên: Bài viết này đến từPeckShield（ID：PeckShield）, được in lại bởi Odaily với sự cho phép.

Lưu ý của biên tập viên: Bài viết này đến từ

, được in lại bởi Odaily với sự cho phép.

Vào rạng sáng ngày 28 tháng 2 theo giờ Bắc Kinh, một lỗ hổng nghiêm trọng đã xuất hiện trong hợp đồng thông minh Furucombo, một công cụ kết hợp giao thức Ethereum. Những kẻ tấn công đã kiếm được hơn 14 triệu USD từ việc khai thác lỗ hổng này.

Phân tích của PeckShield cho thấy lỗ hổng này giống với lỗ hổng xuất hiện trong Primitive Finance vài ngày trước và nó có liên quan đến quyền hạn không giới hạn của người dùng.

Vì Cream Finance đã không thu hồi tất cả các ủy quyền đối với các hợp đồng bên ngoài từ ví một cách kịp thời nên nó đã bị ảnh hưởng bởi lỗ hổng này, dẫn đến thiệt hại khoảng 1,1 triệu đô la."

Ra mắt vào tháng 3 năm 2020, công cụ tổng hợp DeFi Furucombo ban đầu chỉ hỗ trợ các giao dịch Uniswap V1 và các chức năng cung cấp Compound. Vào tháng 12 năm 2020, Furucombo đã thêm các giao thức như Uniswap, Compound và Aave.

Giám đốc điều hành Hsuan-Ting Chu của nó đã từng nói: "Furucombo khác với 1inch và Yearn Finance. Furucombo tổng hợp nhiều giao thức DeFi khác nhau. Với Furucombo, tất cả đều 'không được phép'.

Đồng thời, Furucombo cho phép người dùng thực hiện các khoản vay nhanh chóng không có bảo đảm và vay bất kỳ số lượng tài sản nào.

Thông qua quá trình theo dõi và phân tích, PeckShield nhận thấy rằng giao thức Furucombo giống như Lego, và lỗ hổng này có liên quan đến việc ủy ​​quyền không giới hạn của người dùng. Đầu tiên, kẻ tấn công tạo một hợp đồng thông minh tấn công và chạy nó trong tác nhân Furucombo dễ bị tấn công;

Furucombo gọi hàm AaveLendingPoolv2 trong danh sách trắng và đính kèm địa chỉ của hợp đồng tấn công trong hàm, đồng thời gọi hàm AaveLendingPoolv2::initialize(), hàm này có thể gọi thêm hợp đồng tấn công được cung cấp;

Cuối cùng, nếu người dùng không thu hồi ủy quyền, kẻ tấn công có thể đánh cắp tài sản trong ví của người dùng bằng cách tấn công proxy Furucombo.

Được dẫn dắt bởi khai thác thanh khoản, DeFi sẽ cất cánh trở lại vào năm 2020 và trở thành tâm điểm của đổi mới tài chính, với nhiều cách chơi ngày càng đa dạng hơn trong lĩnh vực này. Vì nhiều tài sản có giá trị khác nhau được lưu trữ trong giao thức, nên DeFi cũng trở thành khu vực bị tấn công nặng nề nhất.

Các chuyên gia bảo mật của PeckShield cho biết: "Công cụ tổng hợp DeFi Furucombo đã chơi Lego đến cùng cực, nhưng việc kiểm tra từng liên kết thậm chí còn quan trọng hơn. Các tổ hợp mới sẽ tiếp tục thay đổi và thích nghi, điều này đòi hỏi phải giám sát hợp đồng thường xuyên và liên tục. kiểm toán bảo mật thay vì đánh dấu các hộp trước khi tung ra."

Khi xử lý tài sản, hãy ủy quyền cẩn thận. DeFi đang trải qua một giai đoạn tăng trưởng chưa từng có trong đó chi phí cho sự tin cậy rất cao.