Ληστεία στο FuruCombo με λεία $14 εκ.

Χάκερ εκμεταλλεύτηκε κενό ασφαλείας σε έξυπνο συμβόλαιο (smart contract) του Furucombo. Το hack αυτό είχε λεία 14 εκατομμύρια δολάρια.

So what happened to Furuсombo👇

An attacker using a fake contract made Furuсombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL

— Igor Igamberdiev (@FrankResearcher) February 27, 2021

Ο hacker έκλεψε περίπου $14 εκ. σε ETH και άλλα κρύπτο. Για να το κατορθώσει αυτό χρησιμοποίησε ένα ψεύτικο έξυπνο συμβόλαιο ξεγελώντας το Furuсombo και κάνοντας το να σκεφτεί πως είναι μία νέα έκδοση του Aave. Έπειτα το χρησιμοποίησε για να αντλήσει κρύπτο από χρήστες του Furucombo.

Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.

— FURUCOMBO (@furucombo) February 27, 2021

Πάντως, η ομάδα του Furucombo ενημέρωσε πως το πρόβλημα έχει διορθωθεί και θα ενημερώσει την κοινότητα το συντομότερο δυνατό για τα επόμενα βήματα. Προτρέπει επίσης χρήστες που έχουν δώσει δικαιώματα στο έξυπνο συμβόλαιο της εφαρμογής να τα ανακαλέσουν. Κάτι τέτοιο μπορεί να γίνει μέσω σελίδων όπως το revoke ή το approved.zone.