استغل “العقد الشرير” الأخير المهاجم بأكثر من 14 مليون دولار من الأموال المسروقة.
فوروكومبو ، أداة مصممة لمساعدة المستخدمين على “تجميع” المعاملات والتفاعلات مع بروتوكولات متعددة في وقت واحد ، وقعت ضحية للهجوم الذي تركز على موافقات رمزية من المستخدمين.
يحتوي عنوان المهاجم حاليًا على 14 مليون دولار من العملات المشفرة المختلفة ، ولكن يبدو أن الهجوم أكبر نظرًا لأنه تم نقل ETH إلى Tornado Cash على دفعات خلال الساعة الماضية.
يشبه هذا الهجوم من الناحية المفاهيمية هجوم “الجرة الشريرة” بقيمة 20 مليون دولار الذي ضرب شركة Pickle Finance العام الماضي ، بالإضافة إلى استغلال “تعويذة الشر” بقيمة 37 مليون دولار والذي ضرب Alpha Finance في وقت سابق من هذا الشهر. في عمليات استغلال “العقد الشرير” ، ينشئ المهاجم عقدًا يخدع بروتوكولًا للاعتقاد بأنه ينتمي إليه ، مما يمنحه إمكانية الوصول إلى أموال البروتوكول.
إذن ما حدث لـ Furuсombo
مهاجم يستخدم عقدًا مزيفًا جعل Furuсombo يعتقد أن Aave v2 لديه تطبيق جديد.
لهذا السبب ، سمحت جميع التفاعلات مع “Aave v2” بنقل الرموز المميزة المعتمدة إلى عنوان عشوائي. pic.twitter.com/gQVxJqiAmL– إيغور إيغامبردييف (FrankResearcher) 27 فبراير 2021
في هذه الحالة ، “خدع” المهاجم بروتوكول فوروكومبو ليعتقد أن عقده كان نسخة جديدة من Aave. من هناك ، بدلاً من استنزاف الأموال من البروتوكول كما هو الحال في مآثر العقود الشريرة السابقة ، استفادوا بدلاً من ذلك من القدرة على أخذ الأموال من كل مستخدم منح أذونات الرمز المميز للبروتوكول.
“الأذونات اللانهائية تعني أنه يمكنك مسح كل من تفاعل مع Furucombo ،” قال متسلل Whitehat وأحد مؤسسي DeFi Italy في بيان لـ Cointelegraph.
يبدو أن هذا النوع من برمجيات إكسبلويت يزداد شيوعًا ، حيث يمثل الآن أكثر من 70 مليون دولار من أموال المستخدمين المفقودة في غضون بضعة أشهر فقط.
أكد الفريق الهجوم في تغريدة ، قائلين إنهم “يعتقدون” أنهم خففوا من الاستغلال ، لكنهم أوصوا بإلغاء الأذونات “بدافع من الحذر الشديد:”
اليوم في تمام الساعة 4:47 مساءً بالتوقيت العالمي المنسق ، تم اختراق بروكسي فوروكومبو من قبل مهاجم. لقد قمنا بإلغاء ترخيص المكونات ذات الصلة ونعتقد أن الثغرة الأمنية سيتم تصحيحها ولكننا نوصي المستخدمين بإزالة الموافقات بدافع الحذر الشديد.
– FURUCOMBO (furucombo) 27 فبراير 2021
يمكن للمستخدمين الاستفادة من أدوات مثل revoke.cash للقيام بذلك.
يأتي الهجوم خلال فترة انعكاس أوسع في عالم DeFi على الأمن وفائدة شركات التدقيق. في الأشهر الثلاثة الماضية ، ظهرت ثلاث خدمات مختلفة للتدقيق ومراجعة التعليمات البرمجية ، لكل منها نموذج حافز مختلف مصمم لتشجيع ممارسات أمنية أكثر شمولاً وديناميكية.
