Злоумышленник скомпрометировал прокси-сервер DeFi-проекта Furucombo, украв порядка $14 млн в Ethereum и токенах ERC-20.
Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021
Компания Furucombo предоставляет пользователям инструмент, для визуального комбинирования цепочки транзакций с различными DeFi-протоколами.
Для атаки хакер использовал поддельный контракт, который заставил Furucombo решить, что Aave v2 имеет новую имплементацию, — говорит исследователь The Block Игорь Игамбердиев.
So what happened to Furuсombo??
An attacker using a fake contract made Furuсombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL
— Igor Igamberdiev (@FrankResearcher) February 27, 2021
Вот список украденных активов:
По мнению команды проекта, взлом произошел в 16:47 UTC. Разработчики уверены, что исправили уязвимость, но из соображений безопасности рекомендовали пользователям удалить одобрение токенов.
Также команда Furucombo пообещала рассказать сообществу о дальнейших предпринимаемых действиях.
По информации Etherscan, злоумышленник активно выводит похищенные активы, в том числе с помощью сервиса микширования Tornado Cash.
