Furucombo被盗1400万美元启示录：切勿过度授权

北京时间 2 月 28 日凌晨，以太坊协议组合工具 Furucombo 智能合约出现一个严重漏洞。攻击者已经利用该漏洞获利超过 1400 万美元。

PeckShield （派盾）分析发现，该漏洞与几天前 Primitive Finance 出现的漏洞原理相同，与用户的无限授权有关。

由于 Cream Finance 未及时从钱包里撤销所有对外部合约的授权，因此受到该漏洞的影响，造成损失约 110 万美元。?

BendDAO清算拍卖首批BAYC #842与BAYC #7860已被售出:8月22日消息，近日BAYC地板价跌破70ETH，BendDAO开始首次通过拍卖机制进行清算BAYC，并非向市场抛售NFT，降低了引发连环清算的风险。

据悉，此次BendDAO链上拍卖信息自发布之后便受到行业众多竞买者的关注，目前首批BendDAO中已有2枚 BAYC 触发清算已被清算，均为此前备受市场关注的 BAYC #842、BAYC #7860，分别以 82.64 ETH、68.69 ETH 的购入价被同一竞买者收入囊中。截止目前，最终竞买者仍未发声。[2022/8/22 12:41:40]

DeFi 聚合器 Furucombo 于 2020 年 3 月推出，最初只支持 Uniswap V1 交易及 Compound 供应功能。2020 年12月，Furucombo 添加连接 Uniswap，Compound 和 Aave 等协议。

区块链平台Klaytn发布v.1.9.0版本，Magma硬分叉将引入动态Gas定价机制:7月29日消息，区块链平台 Klaytn 发布 v.1.9.0 版本，v1.9.0 包含向后不兼容更改的协议升级「Magma」，Baobab 的 Magma 硬分叉预计于 8 月 8 日进行，Cypres 的 Magma 硬分叉预计于 8 月 29 日进行。Magma 硬分叉引入动态 Gas 定价机制，区块 baseFee 会根据前一个区块的 gas 使用量自动增加 / 减少，最大变化率为 5%；区块 baseFee 是 25 ~ 750 ston，这个范围可以通过治理来改变；每个区块的交易费用的一半被销毁。

Klaytn 团队表示，Klaytn 此前采用较低的固定 Gas 价格，但易被恶意行为者利用造成交易延迟，动态 Gas 定价机制旨在通过防止网络滥用和存储过度使用来实现稳定的服务。[2022/7/29 2:46:05]

其首席执行官 Hsuan-Ting Chu 曾表示：“ Furucombo 不同于 1inch 和 Yearn Finance，Furucombo 聚合各种 DeFi 协议。使用 Furucombo，所有都 '无需许可'。"

同时，Furucombo 允许用户进行无抵押快速贷款和借入任何数量的资产。

PeckShield （派盾）通过追踪和分析发现，Furucombo 协议具有乐高性，此次漏洞与用户的无限授权有关。首先攻击者制造了一个攻击智能合约，并将其运行于易受到攻击的 Furucombo 代理中；

Furucombo 调用白名单中的 AaveLendingPoolv2 函数，并在函数中附带攻击合约地址，调用 AaveLendingPoolv2:：initialize（）函数，该函数可进一步调用提供的攻击合约；

最后，在用户未撤销授权的情况下，攻击者可通过攻击 Furucombo 代理，盗取用户钱包里的资产。

在流动性挖矿的引领下，DeFi 于 2020 年再次起飞，并成为金融革新的焦点，在这一领域的玩法也越发多样。由于协议内存放着各类有价资产，让 DeFi 亦成为被攻击的重灾区。

PeckShield 安全专家表示：“DeFi 聚合器 Furucombo 把乐高性玩到极致的同时，对每个环节的审计更是至关重要，新的组合会不断变化和适应，这就要求对合约进行定期的、持续的安全审计，而不是在启动前打勾。”

在处理资产时，需谨慎授权。DeFi 正经历一个前所未有的增长时期，在这个时期，信任的成本非常高。

随着 DeFi 行业规模迅猛增长，尤其是业务和运营合作上的不断发力，组合过程中潜在的安全问题会愈发凸显出来。黑客在攻击某一 DeFi 合约漏洞获利后，会利用同原理的漏洞对其他 DeFi 合约进行依次攻击。

PeckShield （派盾）提示各 DeFi 合约，一旦发生攻击事件后，应自查代码，如果对此不了解，及时找专业的审计机构进行审计和研究，防患于未然。

标签：COMCOMBCOMBOUCOcombo币发行价KOACOMBATcombo币最新消息UCON币

币安app官方下载最新版热门资讯