Furucombo被盜1400萬美元啟示錄：切勿過度授權

編者按：本文來自PeckShield（ID：PeckShield），Odaily經授權轉載。

編者按：本文來自

，Odaily經授權轉載。

編者按：本文來自

，Odaily經授權轉載。

編者按：本文來自"

，Odaily經授權轉載。

北京時間2 月28 日凌晨，以太坊協議組合工具Furucombo 智能合約出現一個嚴重漏洞。攻擊者已經利用該漏洞獲利超過1400 萬美元。

PeckShield （派盾）分析發現，該漏洞與幾天前Primitive Finance 出現的漏洞原理相同，與用戶的無限授權有關。

由於Cream Finance 未及時從錢包裡撤銷所有對外部合約的授權，因此受到該漏洞的影響，造成損失約110 萬美元。

DeFi 聚合器Furucombo 於2020 年3 月推出，最初只支持Uniswap V1 交易及Compound 供應功能。 2020 年12月，Furucombo 添加連接Uniswap，Compound 和Aave 等協議。

其首席執行官Hsuan-Ting Chu 曾表示：“ Furucombo 不同於1inch 和Yearn Finance，Furucombo 聚合各種DeFi 協議。使用Furucombo，所有都'無需許可'。

同時，Furucombo 允許用戶進行無抵押快速貸款和借入任何數量的資產。

PeckShield （派盾）通過追踪和分析發現，Furucombo 協議具有樂高性，此次漏洞與用戶的無限授權有關。首先攻擊者製造了一個攻擊智能合約，並將其運行於易受到攻擊的Furucombo 代理中；

Furucombo 調用白名單中的AaveLendingPoolv2 函數，並在函數中附帶攻擊合約地址，調用AaveLendingPoolv2:：initialize（）函數，該函數可進一步調用提供的攻擊合約；