El exploit «Bad Contract» más reciente generó más de $ 14 millones en fondos robados de un atacante.
Furucombo, una herramienta que permite a los usuarios acumular transacciones e interacciones con múltiples protocolos DeFi (Finanzas descentralizadas) al mismo tiempo, fue víctima del ataque que involucró aprobaciones de tokens de los usuarios alrededor de las 4:45 p.m. UTC.
La dirección del atacante contiene actualmente varias criptomonedas valoradas en $ 14 millones. Sin embargo, el ataque parece ser mayor, ya que el ETH se transfirió en lotes al mezclador de protección de datos Tornado Cash en la última hora.
Este ataque es conceptualmente similar al ataque Evil Jar de $ 20 millones que afectó a Pickle Finance el año pasado y al exploit Evil Spell de $ 37 millones que afectó a Alpha Finance a principios de este mes. En estos exploits de «malos contratos», un atacante crea un contrato que hace que un registro crea que pertenece allí y le da acceso a los recursos del registro.
Entonces, ¿qué pasó con Furuсombo?
Un atacante que utilizó un contrato falso hizo que Furuсombo creyera que Aave v2 tiene una nueva implementación.
Debido a esto, todas las interacciones con ‘Aave v2’ permitieron la transferencia de tokens aprobados a cualquier dirección. pic.twitter.com/gQVxJqiAmL– Igor Igamberdiev (@FrankResearcher) 27 de febrero de 2021
En este caso, el atacante engañó al protocolo Furucombo haciéndole creer que su contrato era una nueva versión de Aave. A partir de ahí, el atacante aprovechó la oportunidad para transferir los fondos de todos los usuarios que habían otorgado los permisos para el token de registro, en lugar de sacar dinero del registro como en exploits anteriores con contratos maliciosos.
«Los permisos infinitos significan que puede eliminar a cualquier persona que interactúe con Furucombo», dijo el pirata informático y cofundador de DeFi Italia, Emiliano Bonassi, a Cointelegraph en un comunicado.
Este tipo de exploit parece estar creciendo en popularidad y ahora representa más de $ 70 millones en fondos de usuarios que se perdieron en cuestión de meses.
El equipo confirmó el ataque en un tweet, diciendo que «creían» que habían mitigado el exploit, pero recomendaron revocar los permisos «por precaución»:
A las 16:47 UTC de hoy, el proxy Furucombo fue comprometido por un atacante. Hemos desactivado los componentes relevantes y creemos que es necesario abordar la vulnerabilidad. Sin embargo, recomendamos que los usuarios eliminen los permisos por precaución.
– FURUCOMBO (@furucombo) 27 de febrero de 2021
Los usuarios pueden usar herramientas como revoke.cash para hacer esto.
El ataque se produce en un momento en que el mundo de DeFi está considerando la seguridad y los beneficios de las empresas de contabilidad. En los últimos tres meses, se han desarrollado tres servicios diferentes de revisión de código y auditoría, cada uno con diferentes modelos de incentivos, para fomentar prácticas de seguridad más completas y dinámicas.