Ethereum

El protocolo de procesamiento por lotes de transacciones Furucombo sufre un hack de 14 millones de dólares por «contratos incorrectos»

single-image
img-ads



El exploit «Bad Contract» más reciente generó más de $ 14 millones en fondos robados de un atacante.

Furucombo, una herramienta que permite a los usuarios acumular transacciones e interacciones con múltiples protocolos DeFi (Finanzas descentralizadas) al mismo tiempo, fue víctima del ataque que involucró aprobaciones de tokens de los usuarios alrededor de las 4:45 p.m. UTC.

La dirección del atacante contiene actualmente varias criptomonedas valoradas en $ 14 millones. Sin embargo, el ataque parece ser mayor, ya que el ETH se transfirió en lotes al mezclador de protección de datos Tornado Cash en la última hora.

Este ataque es conceptualmente similar al ataque Evil Jar de $ 20 millones que afectó a Pickle Finance el año pasado y al exploit Evil Spell de $ 37 millones que afectó a Alpha Finance a principios de este mes. En estos exploits de «malos contratos», un atacante crea un contrato que hace que un registro crea que pertenece allí y le da acceso a los recursos del registro.

En este caso, el atacante engañó al protocolo Furucombo haciéndole creer que su contrato era una nueva versión de Aave. A partir de ahí, el atacante aprovechó la oportunidad para transferir los fondos de todos los usuarios que habían otorgado los permisos para el token de registro, en lugar de sacar dinero del registro como en exploits anteriores con contratos maliciosos.

«Los permisos infinitos significan que puede eliminar a cualquier persona que interactúe con Furucombo», dijo el pirata informático y cofundador de DeFi Italia, Emiliano Bonassi, a Cointelegraph en un comunicado.

Este tipo de exploit parece estar creciendo en popularidad y ahora representa más de $ 70 millones en fondos de usuarios que se perdieron en cuestión de meses.

El equipo confirmó el ataque en un tweet, diciendo que «creían» que habían mitigado el exploit, pero recomendaron revocar los permisos «por precaución»:

Los usuarios pueden usar herramientas como revoke.cash para hacer esto.

El ataque se produce en un momento en que el mundo de DeFi está considerando la seguridad y los beneficios de las empresas de contabilidad. En los últimos tres meses, se han desarrollado tres servicios diferentes de revisión de código y auditoría, cada uno con diferentes modelos de incentivos, para fomentar prácticas de seguridad más completas y dinámicas.