Furucombo предоставляет пользователям инструмент, который позволяет визуально комбинировать цепочки транзакций с различными DeFi-протоколами.
По словам исследователя The Block Игоря Игамбердиева, хакер использовал поддельный контракт, который заставил Furucombo решить, что Aave v2 имеет новую имплементацию. Это дало возможность при взаимодействии с этим DeFi-протоколом переводить одобренные токены на произвольный кошелек.
Взлом произошел в 16:47 UTC. Команда проекта считает, что исправила уязвимость, но из соображений безопасности рекомендовала пользователям удалить одобрение токенов.
В Furucombo обещали уведомить сообщество о дальнейших предпринимаемых действиях.
Согласно данным Etherscan, хакер активно выводит похищенные активы, в том числе с помощью сервиса микширования Tornado Cash.
Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021