Los exploits y ataques de DeFi se han vuelto cada vez más comunes a medida que el espacio evoluciona y atrae tanto dinero como participantes. El último de estos ataques tuvo lugar hoy y vio más de $ 14 millones en criptomonedas robadas.
Furucombo atacó
Furucombo, un protocolo de «procesamiento por lotes» de transacciones basado en Ethereum, dijo esta mañana que la plataforma había sido explotada y pidió a todos los usuarios que detuvieran todas las aprobaciones como precaución.
La herramienta está diseñada para que los usuarios finales optimicen su estrategia DeFi mediante un mecanismo simple de «arrastrar y soltar». La herramienta permite a los usuarios que no saben cómo codificar pero entienden los mercados DeFi crear y ejecutar sus propias estrategias.
El protocolo vio un exploit esta mañana. «Hemos desautorizado los componentes relevantes y creemos que la vulnerabilidad debe ser reparada, pero recomendamos a los usuarios que eliminen las aprobaciones por precaución», dijo Furucombo en un tweet.
Estamos trabajando en los próximos pasos y actualizaremos nuestra comunidad tan pronto como podamos.
Elimine sus aprobaciones de tokens en https://t.co/jcZmbiUQOR para nuestro contrato lo antes posible.
Nuestro contrato inteligente: 0x17e8Ca1b4798B97602895f63206afCd1Fc90Ca5f
– FURUCOMBO (@furucombo) 27 de febrero de 2021
Según el investigador de The Block, Igor Igamberdiev, el atacante pudo realizar el exploit al engañando Los contratos inteligentes de Furucombo para confiar y procesar un conjunto de datos falso pertenecen a un servicio de préstamos descentralizado Aave, un protocolo que permite a los usuarios obtener préstamos a través de garantías (o préstamos flash sin garantía).
«Un atacante que utilizó un contrato falso hizo que Furuсombo pensara que Aave v2 tiene una nueva implementación», dijo Igamberdiev en un Pío. Añadió que esta razón provocó que todas las interacciones con «Aave v2» fueran «aprobadas» y enviadas a una dirección controlada por el hacker.
Los datos en cadena muestran además que el atacante transfirió los fondos de cada usuario que había ‘aprobado’ Furucombo para realizar transacciones en su nombre, lo que resultó en el robo de más de $ 14 millones.
Más de 3.900 STETH (un token de Ethereum en juego) y $ 2.4 millones en la moneda estable USDC fueron las bolsas más golpeadas. Los atacantes han estado transfiriendo su alijo obtenido ilícitamente al mezclador de privacidad Tornado Cash, una herramienta que enmascara direcciones y permite a los usuarios intercambiar criptomonedas en la cadena.
Asumir la responsabilidad
Hsuan-Ting, director ejecutivo del intercambio de cifrado Dinngo, la empresa que construye y mantiene Furucombo, dijo que la empresa asume la responsabilidad de recibir un ataque y pidió a los usuarios que no “se preocupen por ninguna de sus pérdidas.
Estamos calculando cuánto se pierde y planificando cuál es el plan de mitigación ”, dijo Hsuan-Ting, y agregó:
“Mantendré a todos informados. Juntos somos fuertes.»
Mientras tanto, Julien Bouteloup de Curve Finance dijo en Twitter que esas hazañas de «contratos malvados» eran aparentemente el nuevo «santo grial».
La hazaña del «contrato malvado» es el nuevo Santo Grial de DeFi
= un contrato que engaña al protocolo haciéndole creer que es un contrato «seguro» existente
Furucombo se dejó engañar con este nuevo contrato pensando que era algo de Aave v2. Y los mejores usuarios con asignación infinita obtuvieron rekt …
> $ 13.5 millones perdidos pic.twitter.com/s03egtRO7w
– Julien Bouteloup (@bneiluj) 27 de febrero de 2021
Probablemente se refería a ataques anteriores a Alpha Finance y Finanzas Pickle que vio un «contrato malvado» similar consumir millones de dólares en criptomonedas al engañar a los protocolos para que aprobaran y aceptaran contratos falsos. Los proyectos mitigaron más daños en ese momento y continúan viviendo.
La publicación Latest Ethereum DeFi exploit ve $ 14 millones robados de ‘Furucombo’ apareció primero en CryptoSlate.
Post Original de: CryptoSlate
