Очередной DeFi-проект на основе Ethereum Furucombo был взломан

По мере развития и приобретения популярности цифровых валют и платформ, растет и количество злоумышленников. Они пытаются обманом или вредоносным программным обеспечением завладеть финансами или технологиями пользователей и компаний. Протокол пакетной обработки транзакций на основе Ethereum Furucombo сегодня был взломан. Проект призвал всех пользователей прекратить проведение транзакций в качестве мер предосторожности.

Ранее мы уже писали о том, что более 50% взломов криптовалютных платформ в 2020 году были связаны с атаками DeFi, что составило 129 миллионов долларов. Это более 25% общего объема от взломов и других инцидентов за год. Одна из последних кибератак также приходится на цифровое пространство DeFi. В этот раз кража криптовалюты оценивается в 15 миллионов долларов.

Furucombo представляет собой инструмент для оптимизации стратегии DeFi конечными пользователями с помощью механизма перетаскивания. Другими словами, юзеры, которые не умеют программировать, могут воспользоваться площадкой для создания и запуска собственных DeFi-проектов.

В своем профиле Twitter Furucombo опубликовали информацию о том, что в протоколе был обнаружен эксплойт. Они сообщили, что соответствующие компоненты были деавторизованы и уязвимость исправлена, но призвали пользователей следовать мерам предосторожности. Сейчас платформа работает над планом ликвидации последствий для пользователей и их средств.

Как хакер смог взломать Furucombo?

Исследователь The Block Игорь Игамбердиев считает, что провести атаку на Furucombo злоумышленник смог с помощью обмана смарт-контракта. Он загрузил ложный смарт-контракт на децентрализованный сервис кредитования Aave – протокол, который позволяет пользователям брать ссуды под залог и кредиты без залога. Игамбердиев поделился в Twitter:

«Злоумышленник, использующий поддельный контракт, заставил Furucombo подумать, что Aave v2 имеет новую реализацию. По этой причине все взаимодействия с «Aave v2» были «одобрены» и отправлены на адрес, контролируемый хакером».

Украденные средства были переведены со счетов всех пользователей, которые одобрили Furucombo для проведения транзакций от их имени. Самые большие суммы составили более 3900 stETH (поставленный на ставку токен Ethereum) и 2,4 миллиона долларов в стейблкоинах USDC. Переводы хакером были сделаны на Tornado Cash, сервис, который маскирует адреса.

Генеральный директор криптобиржи Dinngo, которая поддерживает Furucombo, взял всю ответственность за произошедший взлом на фирму. Он заявил, что пользователи могут не переживать об утраченных средствах, после подсчета всего полученного ущерба, компания будет работать над планом по смягчению последствий.

💡 Подписывайтесь на Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей 👉 @like_freedman

Автор: Евгения Лимончикова, аналитик Freedman Сlub Crypto News