Un nuovo caso di exploit "evil contract" ha permesso a un hacker di rubare fondi dal valore di oltre 14 milioni di dollari. Furucombo, uno strumento che consente di raggruppare molteplici transazioni e interazioni con svariati protocolli DeFi, ha subito un attacco alle 16:45 UTC del 27 febbraio.
Nei momenti immediatamente successivi all'attacco, nell'indirizzo dell'assalitore erano apparse criptovalute per un valore complessivo di 14 milioni di dollari. Attualmente contiene soltanto 151.000$, dato che i fondi sono stati rapidamente trasferiti verso altri wallet.
L'hacker ha utilizzato un metodo concettualmente simile all'attacco "evil jar" subito lo scorso anno da Pickle Finance, che portò al furto di 20 milioni di dollari, e all'exploit "evil spell" che ha colpito Alpha Finance a febbraio.
In questi exploit "evil contract", un utente malintenzionato crea un contratto apparentemente legittimo che inganna il protocollo, così da poter accedere ai fondi altrui:
"Ecco cos'è successo a Furucombo.
Un assalitore ha utilizzato un contratto falso, il quale ha fatto credere a Furucombo che Aave v2 avesse una nuova implementazione.
A causa di ciò, tutte le interazioni con 'Aave v2' gli hanno permesso di trasferire token approvati verso indirizzi arbitrari."
So what happened to Furucombo
— Igor Igamberdiev (@FrankResearcher) February 27, 2021
An attacker using a fake contract made Furucombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL
Ma invece di prosciugare i fondi del protocollo, come avvenuto nei precedenti exploit evil contract, l'hacker ha rubato il denaro degli utenti che avevano abilitato i permessi. A tal proposito Emiliano Bonassi, co-founder di DeFi Italy, ha spiegato:
"Permessi infiniti significa che puoi prosciugare i fondi di chiunque abbia interagito con Furucombo."
Il team di Furucombo ha confermato l'attacco su Twitter, affermando che la falla è stata prontamente risolta. Consiglia comunque agli utenti di revocare i permessi:
"Oggi, alle 16:47 UTC, il Furucombo proxy è stato compromesso da un aggressore. Abbiamo rimosso le autorizzazioni per le componenti rilevanti e riteniamo che la vulnerabilità sia stata risolta, ma consigliamo agli utenti di rimuovere le approvazioni per ulteriore precauzione."
Today at 4:47 PM UTC the Furucombo proxy was compromised by an attacker. We have deauthorized the relevant components and believe the vulnerability to be patched but we recommend users remove approvals out of an abundance of caution.
— FURUCOMBO (@furucombo) February 27, 2021