UCO:Furucombo被盜1400萬美元啟示錄：切勿過度授權_COMBO

北京時間 2 月 28 日凌晨，以太坊協議組合工具 Furucombo 智能合約出現一個嚴重漏洞。攻擊者已經利用該漏洞獲利超過 1400 萬美元。

PeckShield （派盾）分析發現，該漏洞與幾天前 Primitive Finance 出現的漏洞原理相同，與用戶的無限授權有關。

由于 Cream Finance 未及時從錢包里撤銷所有對外部合約的授權，因此受到該漏洞的影響，造成損失約 110 萬美元。?

Cream Finance金庫在Furucombo漏洞中損失110萬美元:Cream Finance剛剛發推文稱：“這個漏洞影響了我們的金庫資金。我們已經從錢包里撤銷了所有對外部合同的批準，但損失了110萬美元。C.R.E.A.M.市場功能正常，沒有受到影響。我們將等待Furucombo團隊的進一步細節。”此前消息，此前消息，DeFi平臺Furucombo代理遭攻擊，被盜金額達1400萬美元以上。隨后，Furucombo表示，已找到根本原因且資金現已安全，正調查被盜資金并組織后續行動。[2021/2/28 17:59:55]

DeFi 聚合器 Furucombo 于 2020 年 3 月推出，最初只支持 Uniswap V1 交易及 Compound 供應功能。2020 年12月，Furucombo 添加連接 Uniswap，Compound 和 Aave 等協議。

Infura產品主管：以太坊2.0的重頭戲還在后面:Infura的總經理兼產品主管Michael Godsey表示：“把以太坊0階段看作是測試階段是對的。我認為，當開發者開始涉足ETH 2.0時，還是會處于后期階段。”在Forkast.News的視頻采訪中，Godsey說道：“早期階段確實需要驗證質押架構是否有效，以及以太坊網絡是否能在這個新的共識算法中運行。你會看到很多驗證器和質押服務以及類似的服務上線，幫助人們參與其中。”注：Infura是ConsenSys子公司，允許用戶在不設置節點或錢包的情況下在以太坊上運行應用程序。（Forkast）[2020/12/10 14:48:46]

其首席執行官 Hsuan-Ting Chu 曾表示：“ Furucombo 不同于 1inch 和 Yearn Finance，Furucombo 聚合各種 DeFi 協議。使用 Furucombo，所有都 '無需許可'。"

以太坊基礎設施Infura以太坊API服務中斷:Ethereum和IPFS的API服務供應商Infura表示，其Ethereum Mainnet API服務暫時中斷，團隊正在調查并努力恢復服務功能。注，Infura是由開發者MichaelWuehler開發的一種基礎設施，可以無需運行全節點，即可讓去中心化應用在以太坊上處理信息。一些最流行的去中心化應用或者協議，例如以太坊錢包MetaMask或者去中心化交易所協議0x，都依靠Infura向以太坊主網播送交易數據和智能合約，Infura處理每日高達130億次的請求。[2020/11/11 12:19:06]

同時，Furucombo 允許用戶進行無抵押快速貸款和借入任何數量的資產。

PeckShield （派盾）通過追蹤和分析發現，Furucombo 協議具有樂高性，此次漏洞與用戶的無限授權有關。首先攻擊者制造了一個攻擊智能合約，并將其運行于易受到攻擊的 Furucombo 代理中；

Furucombo 調用白名單中的 AaveLendingPoolv2 函數，并在函數中附帶攻擊合約地址，調用 AaveLendingPoolv2:：initialize（）函數，該函數可進一步調用提供的攻擊合約；

最后，在用戶未撤銷授權的情況下，攻擊者可通過攻擊 Furucombo 代理，盜取用戶錢包里的資產。

在流動性挖礦的引領下，DeFi 于 2020 年再次起飛，并成為金融革新的焦點，在這一領域的玩法也越發多樣。由于協議內存放著各類有價資產，讓 DeFi 亦成為被攻擊的重災區。

PeckShield 安全專家表示：“DeFi 聚合器 Furucombo 把樂高性玩到極致的同時，對每個環節的審計更是至關重要，新的組合會不斷變化和適應，這就要求對合約進行定期的、持續的安全審計，而不是在啟動前打勾。”

在處理資產時，需謹慎授權。DeFi 正經歷一個前所未有的增長時期，在這個時期，信任的成本非常高。

隨著 DeFi 行業規模迅猛增長，尤其是業務和運營合作上的不斷發力，組合過程中潛在的安全問題會愈發凸顯出來。黑客在攻擊某一 DeFi 合約漏洞獲利后，會利用同原理的漏洞對其他 DeFi 合約進行依次攻擊。

PeckShield （派盾）提示各 DeFi 合約，一旦發生攻擊事件后，應自查代碼，如果對此不了解，及時找專業的審計機構進行審計和研究，防患于未然。

Tags：FURCOMCOMBOUCOFURYX幣3COMMAScombo幣發行總量kucoin北京辦公地點

酷幣下載