Новости DeFi-проект Furucombo взломали на $14 млн

Команда Furucombo сообщила, что злоумышленник скомпрометировал прокси-сервер DeFi-проекта, ущерб составил около $14 млн в Ethereum и токенах ERC-20.

Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.

— FURUCOMBO (@furucombo) February 27, 2021
​

Furucombo предоставляет пользователям инструмент, который позволяет визуально комбинировать цепочки транзакций с различными DeFi-протоколами.

По словам исследователя The Block Игоря Игамбердиева, хакер использовал поддельный контракт, который заставил Furucombo решить, что Aave v2 имеет новую имплементацию. Это дало возможность при взаимодействии с этим DeFi-протоколом переводить одобренные токены на произвольный кошелек.

So what happened to Furuсombo

An attacker using a fake contract made Furuсombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL

— Igor Igamberdiev (@FrankResearcher) February 27, 2021
​

Эксперт привел перечень украденных активов.


Данные: Twitter.


Взлом произошел в 16:47 UTC. Команда проекта считает, что исправила уязвимость, но из соображений безопасности рекомендовала пользователям удалить одобрение токенов.

В Furucombo обещали уведомить сообщество о дальнейших предпринимаемых действиях.

Согласно данным Etherscan, хакер активно выводит похищенные активы, в том числе с помощью сервиса микширования Tornado Cash.

Ранее специалисты Crystal Blockchain отметили, что за последние 5 лет злоумышленники в 13 раз быстрее стали избавляться от украденных криптовалют, а миксеры превратились во второе по популярности направление для вывода.

Напомним, в середине февраля хакер вывел из DeFi-протокола Iron Bank (второй версии проекта Cream Finance) токены на общую сумму $37,5 млн.

Новость DeFi-проект Furucombo взломали на $14 млн на сайте CoinProject.info.