宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > MATIC > 正文

Furucombo被盗1400万美元启示录:切勿过度授权

作者:

时间:1900/1/1 0:00:00

北京时间 2 月 28 日凌晨,以太坊协议组合工具 Furucombo 智能合约出现一个严重漏洞。攻击者已经利用该漏洞获利超过 1400 万美元。

PeckShield (派盾)分析发现,该漏洞与几天前 Primitive Finance 出现的漏洞原理相同,与用户的无限授权有关。

由于 Cream Finance 未及时从钱包里撤销所有对外部合约的授权,因此受到该漏洞的影响,造成损失约 110 万美元。?

Infura:已经实施修复,正在监控结果:Ethereum和IPFS的API服务供应商Infura对Ethereum Mainnet API服务暂时中断事件更新称,已经实施了修复,我们正在监控结果。[2020/11/12 12:21:59]

DeFi 聚合器 Furucombo 于 2020 年 3 月推出,最初只支持 Uniswap V1 交易及 Compound 供应功能。2020 年12月,Furucombo 添加连接 Uniswap,Compound 和 Aave 等协议。

动态 | 加拿大挖矿公司Hut8从Bitfury购买9个数据中心,将使挖矿运营能力提升19%:加拿大挖矿公司Hut8以700万美元从挖矿巨头Bitfury购买9个数据中心,这笔交易将使Hut8挖矿运营能力提升19%。随着今年比特币价格不断上涨,Hut8公司业绩也开始恢复,第二季度收益净收入达到3368万加元。(investingnews)[2019/9/13]

其首席执行官 Hsuan-Ting Chu 曾表示:“ Furucombo 不同于 1inch 和 Yearn Finance,Furucombo 聚合各种 DeFi 协议。使用 Furucombo,所有都 '无需许可'。"

动态 | 美国SEC前成员加入Bitfury顾问委员会:据Coindesk消息,美国证券交易委员会(SEC)前成员Annette Nazaret现已加入比特币矿业巨头Bitfury顾问委员会。将为Bitfury提供有关金融市场和监管的全面知识。[2018/11/21]

同时,Furucombo 允许用户进行无抵押快速贷款和借入任何数量的资产。

PeckShield (派盾)通过追踪和分析发现,Furucombo 协议具有乐高性,此次漏洞与用户的无限授权有关。首先攻击者制造了一个攻击智能合约,并将其运行于易受到攻击的 Furucombo 代理中;

Furucombo 调用白名单中的 AaveLendingPoolv2 函数,并在函数中附带攻击合约地址,调用 AaveLendingPoolv2::initialize()函数,该函数可进一步调用提供的攻击合约;

最后,在用户未撤销授权的情况下,攻击者可通过攻击 Furucombo 代理,盗取用户钱包里的资产。

在流动性挖矿的引领下,DeFi 于 2020 年再次起飞,并成为金融革新的焦点,在这一领域的玩法也越发多样。由于协议内存放着各类有价资产,让 DeFi 亦成为被攻击的重灾区。

PeckShield 安全专家表示:“DeFi 聚合器 Furucombo 把乐高性玩到极致的同时,对每个环节的审计更是至关重要,新的组合会不断变化和适应,这就要求对合约进行定期的、持续的安全审计,而不是在启动前打勾。”

在处理资产时,需谨慎授权。DeFi 正经历一个前所未有的增长时期,在这个时期,信任的成本非常高。

随着 DeFi 行业规模迅猛增长,尤其是业务和运营合作上的不断发力,组合过程中潜在的安全问题会愈发凸显出来。黑客在攻击某一 DeFi 合约漏洞获利后,会利用同原理的漏洞对其他 DeFi 合约进行依次攻击。

PeckShield (派盾)提示各 DeFi 合约,一旦发生攻击事件后,应自查代码,如果对此不了解,及时找专业的审计机构进行审计和研究,防患于未然。

标签:FURCOMCOMBUCOFURYXCOMCOMBI价格kucoin交易所返佣设置多少

MATIC热门资讯
美国10年国债收益率开始回落 利好美股和加密货币

狂人本着负责,专注,诚恳的态度用心写每一篇分析文章,特点鲜明,不做作,不浮夸!本内容中的信息及数据来源于公开可获得资料,力求准确可靠,但对信息的准确性及完整性不做任何保证,本内容不构成投资建议,据此投资,责任自负.

1900/1/1 0:00:00
美国散户投资者更看好Cardano而非比特币 比特币鲸鱼正大举“逢低买入”

摘要:加密交易经纪商Voyager Digital发布的投资者情绪调查报告显示,与比特币相比,美国散户投资者更看好Cardano(ADA)。与此同时,比特币鲸鱼正大举“逢低买入”.

1900/1/1 0:00:00
走近Coinbase:探索宇宙第一大所的奥秘

2月25日,美国规模最大的合规数字货币交易平台Coinbase提交的S-1文件已获SEC批准,其将在纳斯达克直接上市,股票代码为「COIN」,高盛、花旗集团、摩根大通等公司担任交易顾问.

1900/1/1 0:00:00
以太坊Layer 2反击战将打响 谁能脱颖而出?

兵者,诡道也,故能而示之不能,用而示之不用,近而示之远,远而示之近 —— 《孙子兵法·计篇》古人以大智慧提出了战争制胜的一些诀窍,而这些技巧放在今天的加密网络战争当中,也同样是适用的.

1900/1/1 0:00:00
金色观察 | 加密艺术将吞噬传统艺术

下一代数字原住民将如何使用加密艺术作为数字世界的身份象征?我们生活在一个日益数字化的世界。人们在各种电子设备中花无数个小时。整整几代人都在这个新世界里成长为数字原住民。豪车、豪华晚餐、名表等这些都是彰显财富和地位的方式.

1900/1/1 0:00:00
3.2午间行情:大阳线收复失地 趋势能否延续

文章系金色财经专栏作者牛七的区块链分析记供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当.

1900/1/1 0:00:00