Furucombo被盗1400万美元启示录:切勿过度授权
北京时间 2 月 28 日凌晨,以太坊协议组合工具 Furucombo 智能合约出现一个严重漏洞。攻击者已经利用该漏洞获利超过 1400 万美元。
PeckShield (派盾)分析发现,该漏洞与几天前 Primitive Finance 出现的漏洞原理相同,与用户的无限授权有关。
由于 Cream Finance 未及时从钱包里撤销所有对外部合约的授权,因此受到该漏洞的影响,造成损失约 110 万美元。
DeFi 聚合器 Furucombo 于 2020 年 3 月推出,最初只支持 Uniswap V1 交易及 Compound 供应功能。2020 年12月,Furucombo 添加连接 Uniswap,Compound 和 Aave 等协议。
其首席执行官 Hsuan-Ting Chu 曾表示:“ Furucombo 不同于 1inch 和 Yearn Finance,Furucombo 聚合各种 DeFi 协议。使用 Furucombo,所有都 '无需许可'。"
同时,Furucombo 允许用户进行无抵押快速贷款和借入任何数量的资产。
PeckShield (派盾)通过追踪和分析发现,Furucombo 协议具有乐高性,此次漏洞与用户的无限授权有关。首先攻击者制造了一个攻击智能合约,并将其运行于易受到攻击的 Furucombo 代理中;
Furucombo 调用白名单中的 AaveLendingPoolv2 函数,并在函数中附带攻击合约地址,调用 AaveLendingPoolv2::initialize()函数,该函数可进一步调用提供的攻击合约;
最后,在用户未撤销授权的情况下,攻击者可通过攻击 Furucombo 代理,盗取用户钱包里的资产。
在流动性挖矿的引领下,DeFi 于 2020 年再次起飞,并成为金融革新的焦点,在这一领域的玩法也越发多样。由于协议内存放着各类有价资产,让 DeFi 亦成为被攻击的重灾区。
PeckShield 安全专家表示:“DeFi 聚合器 Furucombo 把乐高性玩到极致的同时,对每个环节的审计更是至关重要,新的组合会不断变化和适应,这就要求对合约进行定期的、持续的安全审计,而不是在启动前打勾。”
在处理资产时,需谨慎授权。DeFi 正经历一个前所未有的增长时期,在这个时期,信任的成本非常高。
随着 DeFi 行业规模迅猛增长,尤其是业务和运营合作上的不断发力,组合过程中潜在的安全问题会愈发凸显出来。黑客在攻击某一 DeFi 合约漏洞获利后,会利用同原理的漏洞对其他 DeFi 合约进行依次攻击。
PeckShield (派盾)提示各 DeFi 合约,一旦发生攻击事件后,应自查代码,如果对此不了解,及时找专业的审计机构进行审计和研究,防患于未然。
Furucombo被盗1400万美元启示录:切勿过度授权相关推荐
- 16岁自闭少年被指黑掉英伟达微软,曾赚1400万美元,英国警方逮捕7人
视学算法报道 机器之心编辑部 在英国牛津,一个上特殊学校的 16 岁自闭少年被指控为 2022 年最高调的黑客组织 Lapsus$ 的头目之一.据悉,他已经赚到了 1400 万美元.他所在的 Laps ...
- 只有一个程序员开发和运营,BuiltWith网站年入1400万美元是怎么做到的?
国外有一位程序员叫 Gary Brewer,他一人撑起了一个公司,这个公司还年入 1400 万美元,约人民币 1 亿元. 对此,你是啥想法?先别着急说不可能,这事儿确实是真的:这名程序员名为 Gary ...
- 为了快 0.00007 秒,有家交易公司花 1400 万美元买了块地
为了快 0.00007 秒,有家交易公司花 1400 万美元买了块地 2017-05-19 好奇心日报 人人宽客 对于高频交易公司来说,2/3 光速还是太慢了 眨眼 0.4 秒,常被形容快,但有家公司 ...
- 法国大数据分析协作初创企业Dataiku获1400万美元风险投资
10月25日消息,法国大数据分析协作初创企业Dataiku宣布获得1400万美元风险投资,本轮融资由总部位于纽约的风投公司FirstMark Capital领投.据创投时报了解,Dataiku将利用本 ...
- 云数据存储创企Avere Systems获1400万美元E轮融资
近日,匹兹堡混合云端数据存储公司Avere Systems获得1400万美元E轮融资,投资方包括新投资人谷歌,以及原投资人Menlo Ventures.Norwest Venture Partners ...
- 法国大数据分析服务初创公司 Dataiku 获1400 万美元 A 轮融资
本周三(10 月 26 日),法国初创公司Dataiku 宣布获得了一笔 1400 万美元的 A 轮融资,领投方是纽约知名风投FirstMark Capital. Dataiku 公司成立于 2013 ...
- 云储存公司Terascala获1400万美元融资
位于波士顿的云储存公司Terascala近日宣布已为其并行储存设备融资1400万美元.Terascala成立于2005年,主要产品为Terascala 整合存储信息系统(TISIS). TISIS能利 ...
- 移动支付公司iZettle融资逾1400万美元
据知情人士透露,欧洲移动支付公司iZettle刚刚获得了由美国风险投资公司Index Ventures领投的1000多万欧元(约合1400万美元)的融资. 总部位于瑞典的iZettle今年早些 ...
- (转)为了快 0.00007 秒,有家交易公司花 1400 万美元买了块地
https://mp.weixin.qq.com/s/sBw2CTHQIva–Ne8jyXN9Q 为了快 0.00007 秒,有家交易公司花 1400 万美元买了块地 2017-05-19 好奇心日报 ...
最新文章
- C++中函数调用操作符的重载
- 第四章 C++数据类型
- python产生10个不同的随机数组成列表并求平均值_计算多个随机数的平均数Python...
- A2K课程目录及学习计划
- 云计算学习总结(1)——PaaS云平台部署之在Centos7搭建Mesos+Zookeeper+Marathon+Docker单机集群
- volley6--CacheDispatcher从缓存中获取数据
- mysql oracle 区别吗_MySQL与Oracle的区别(-)
- 原生JS实现HTML文件上传,简单实现js上传文件功能
- 三段式状态机理解浅析
- 我们为什么要搞长沙.NET技术社区(4)
- 计算机上平方米的单位,word怎么写平方米 word中平方米的单位怎么打
- [附源码]java毕业设计网络学习平台
- 简单又强大的联发科手机PhilZ Touch Recovery安装器,详细教程 - 本文出自高州吧
- POE交换机应该要选择网线?POE交换机选择网线要点
- C语言实现带表头节点的链表
- 微星z370安装linux系统,在MSI z370主板上安装win7和BIOS设置的详细教程
- 星星是怎么来的?—— CG短片《繁星》幕后分享
- 拉普拉斯算子原理 图像增强
- 3D MAX入门篇(1)常用快捷命令及两种基础建模方式
- 操作系统、输入法和编码的理解