Krypto

Neuester Ethereum-DeFi-Exploit sieht 14 Millionen Dollar

Neuester Ethereum-DeFi-Exploit sieht 14 Millionen Dollar von ‘Furucombo’ gestohlen

DeFi Exploits und Angriffe haben sich zunehmend an der Tagesordnung, wie der Raum entwickelt und zieht sowohl Geld und Teilnehmer. Die neueste dieser Angriffe fand heute früh statt und sah über $14 Millionen Wert von gestohlenen Krypto.

Furucombo, ein Ethereum-basiertes Transaktions-“Batching”-Protokoll, sagte heute Morgen, dass die Plattform ausgenutzt wurde und bat alle Benutzer, als Vorsichtsmaßnahme alle Genehmigungen einzustellen.

Das Tool wurde für Endbenutzer entwickelt, um ihre DeFi-Strategie zu optimieren, indem sie einen einfachen “Drag-and-Drop”-Mechanismus verwenden. Das Tool ermöglicht es Benutzern, die nicht programmieren können, aber die DeFi-Märkte verstehen, ihre eigenen Strategien zu erstellen und auszuführen.

Das Protokoll sah heute Morgen einen Exploit. “Wir haben die relevanten Komponenten deautorisiert und glauben, dass die Schwachstelle gepatcht ist, aber wir empfehlen den Benutzern bei Bitcoin Up, die Freigaben aus Vorsicht zu entfernen”, sagte Furucombo in einem Tweet.

Laut dem The-Block-Forscher Igor Igamberdiev war der Angreifer in der Lage, den Exploit durchzuführen, indem er Furucombos Smart Contracts dazu brachte, einem gefälschten Datensatz zu vertrauen und zu verarbeiten, der zu einem dezentralen Kreditvergabedienst Aave gehört – einem Protokoll, das es Nutzern ermöglicht, Kredite mit Sicherheiten (oder Flash-Kredite ohne Sicherheiten) aufzunehmen.

“Ein Angreifer, der einen gefälschten Vertrag verwendete, ließ Furuсombo glauben, dass Aave v2 eine neue Implementierung hat”, sagte Igamberdiev in einem Tweet. Er fügte hinzu, dass dieser Grund dazu führte, dass alle Interaktionen mit “Aave v2” “genehmigt” und an eine vom Hacker kontrollierte Adresse gesendet wurden.

On-Chain-Daten zeigen außerdem, dass der Angreifer die Gelder jedes Benutzers, der Furucombo “genehmigt” hatte, um Transaktionen in seinem Namen durchzuführen, übertragen hat, was dazu führte, dass über 14 Millionen Dollar gestohlen wurden.

Über 3,900 stETH (ein Ethereum-Token) und $2.4 Millionen in Stablecoin USDC waren die größten betroffenen Taschen. Die Angreifer haben ihren illegal gewonnenen Stash auf den Privacy-Mixer Tornado Cash übertragen, ein Tool, das Adressen maskiert und den Nutzern erlaubt, Kryptowährungen auf der Kette zu tauschen.

Die Verantwortung übernehmen

Hsuan-Ting, der CEO der Krypto-Börse Dinngo, die Firma, die Furucombo baut und unterhält, sagte, die Firma übernimmt die Verantwortung für den Angriff und bat die Nutzer, sich keine Sorgen über ihre Verluste zu machen”.

Wir sind zu berechnen, wie viel verloren ist und die Planung, was ist die Mitigation-Plan,” Hsuan-Ting sagte, fügte hinzu:

“Wir halten alle auf dem Laufenden. Gemeinsam sind wir stärker.”

In der Zwischenzeit sagte Julien Bouteloup von Curve Finance auf Twitter, dass solche “evil contract” Exploits scheinbar der neue “heilige Gral” seien.

Er bezog sich dabei wahrscheinlich auf frühere Angriffe auf Alpha Finance und Pickle Finance, bei denen ein ähnlicher “böser Vertrag” Millionen von Dollar in Kryptowährungen abzog, indem er die Protokolle dazu brachte, gefälschte Verträge zu genehmigen und zu akzeptieren. Die Projekte milderten damals weiteren Schaden ab und leben weiter.