หมายเหตุบรรณาธิการ: บทความนี้มาจากPeckShield（ID：PeckShield）พิมพ์ซ้ำโดย Odaily โดยได้รับอนุญาต

หมายเหตุบรรณาธิการ: บทความนี้มาจาก

พิมพ์ซ้ำโดย Odaily โดยได้รับอนุญาต

ในช่วงเช้ามืดของวันที่ 28 กุมภาพันธ์ตามเวลาปักกิ่ง ช่องโหว่ร้ายแรงปรากฏขึ้นใน Furucombo smart contract ซึ่งเป็นเครื่องมือรวมโปรโตคอล Ethereum ผู้โจมตีทำเงินได้มากกว่า 14 ล้านดอลลาร์จากการใช้ประโยชน์จากช่องโหว่นี้

การวิเคราะห์ของ PeckShield พบว่าช่องโหว่นี้เหมือนกับช่องโหว่ที่ปรากฏใน Primitive Finance เมื่อไม่กี่วันก่อน และเกี่ยวข้องกับการอนุญาตแบบไม่จำกัดของผู้ใช้

เนื่องจาก Cream Finance ไม่ได้ยกเลิกการอนุญาตทั้งหมดสำหรับสัญญาภายนอกจากกระเป๋าเงินในเวลาที่เหมาะสม จึงได้รับผลกระทบจากช่องโหว่นี้ ส่งผลให้สูญเสียเงินประมาณ 1.1 ล้านดอลลาร์"

เปิดตัวในเดือนมีนาคม 2020 ตัวรวบรวม DeFi Furucombo เริ่มแรกรองรับเฉพาะธุรกรรม Uniswap V1 และฟังก์ชันการจัดหาแบบผสม ในเดือนธันวาคม 2020 Furucombo ได้เพิ่มโปรโตคอล เช่น Uniswap, Compound และ Aave

Hsuan-Ting Chu ซีอีโอของบริษัทเคยกล่าวไว้ว่า: "Furucombo แตกต่างจาก 1inch และ Yearn Finance Furucombo รวมโปรโตคอล DeFi ต่างๆ ด้วย Furucombo ทั้งหมดจะ 'ไม่ได้รับอนุญาต'

ในเวลาเดียวกัน Furucombo ช่วยให้ผู้ใช้สามารถกู้ยืมเงินด่วนที่ไม่มีหลักประกันและยืมทรัพย์สินจำนวนเท่าใดก็ได้

จากการติดตามและวิเคราะห์ PeckShield พบว่าโปรโตคอล Furucombo มีลักษณะเหมือน Lego และช่องโหว่นี้เกี่ยวข้องกับการอนุญาตแบบไม่จำกัดของผู้ใช้ ขั้นแรก ผู้โจมตีสร้างสัญญาโจมตีอัจฉริยะและรันในตัวแทน Furucombo ที่มีช่องโหว่

Furucombo เรียกฟังก์ชัน AaveLendingPoolv2 ในรายการที่อนุญาตพิเศษ และแนบที่อยู่ของสัญญาการโจมตีในฟังก์ชัน และเรียกฟังก์ชัน AaveLendingPoolv2::initialize() ซึ่งสามารถเรียกใช้สัญญาการโจมตีที่มีให้เพิ่มเติมได้

สุดท้าย หากผู้ใช้ไม่เพิกถอนการอนุญาต ผู้โจมตีสามารถขโมยทรัพย์สินในกระเป๋าเงินของผู้ใช้โดยโจมตีพร็อกซี Furucombo

นำโดยการทำเหมืองสภาพคล่อง DeFi จะเริ่มขึ้นอีกครั้งในปี 2020 และกลายเป็นจุดสนใจของนวัตกรรมทางการเงิน ด้วยวิธีการเล่นที่หลากหลายมากขึ้นในสาขานี้ เนื่องจากทรัพย์สินมีค่าต่างๆ ถูกเก็บไว้ในโปรโตคอล DeFi จึงกลายเป็นพื้นที่ที่ถูกโจมตีได้ยากที่สุด

ผู้เชี่ยวชาญด้านความปลอดภัยของ PeckShield กล่าวว่า "Furucombo ผู้รวบรวม DeFi เล่นเลโก้จนสุดขั้ว แต่การตรวจสอบแต่ละลิงก์นั้นสำคัญยิ่งกว่า ชุดค่าผสมใหม่จะยังคงเปลี่ยนแปลงและปรับตัว ซึ่งต้องมีการตรวจสอบสัญญาอย่างสม่ำเสมอและต่อเนื่อง การตรวจสอบความปลอดภัยแทนการติ๊ก กล่องก่อนเปิดตัว"

เมื่อจัดการกับสินทรัพย์ ให้อนุญาตอย่างระมัดระวัง DeFi กำลังผ่านช่วงเวลาแห่งการเติบโตอย่างไม่เคยปรากฏมาก่อน ซึ่งต้นทุนของความไว้วางใจนั้นสูงมาก