台灣 DeFi 聚合平台 FuruCombo 今(28)晨於推特證實 FuruCombo proxy 合約遭駭,估計損失 1,500 萬美元,目前平台及資金都已安全;同時,麻吉大哥黃立成旗下的台灣 DeFi 借貸協議 Cream Finance 的儲備金帳戶連帶受到影響,估計損失 110 萬美元。
(前情提要:捷報!幣安宣佈投資「台灣DeFi聚合平台FuruCombo」,讓DeFi麻瓜也能實現套利)
(前情提要:事件始末 | 黃立成旗下 Defi 新創Cream.Finance遭閃電貸攻擊,駭客得手近 10億台幣)
去中心化金融(DeFi)自去年開始受到極大關注,成為加密產業的火熱板塊,隨著 DeFi 知名度成長,也使其成為駭客首要攻擊目標,近期 DeFi 合約攻擊頻傳。
今(28)日凌晨 12 點,台灣 DeFi 項目 FuruCombo Proxy 遭駭客攻擊,駭客使用假合約混淆 FuruCombo Proxy,並將 FuruCombo 與 Aave v2 互動的資金轉移至駭客錢包。官方團隊隨後在推特證實遭駭,估計遭駭客竊取金額為 1,500 萬美元,並表示目前平台與資金都已安全。
台北時間凌晨 3:20 分,FuruCombo 團隊於發布推文,表示遭到駭客攻擊,建議用戶儘速撤回 Furucombo Proxy 的合約授權,或直接將資產轉移至其他錢包。
FuruCombo 團隊於推特表示:
Furucombo proxy 合約在世界協調時間下午 4:47 分遭駭客攻擊。官方正在緊急處理中。使用過 Furucombo 合約的用戶,請儘速撤回(Revoke)曾經授權(approve)的 Furuсombo Proxy 合約。或直接將資產轉移至其他錢包。
若用戶仍不放心,可以上 https://approved.zone/ 對我們的合約(0x17e8Ca1b4798B97602895f63206afCd1Fc90Ca5f)取消所有 token 授權。
We are working on the next steps and will update our community as soon as we can
Please remove your token approvals on https://t.co/jcZmbiUQOR towards our contract at the earliest.
Our smart contract:0x17e8Ca1b4798B97602895f63206afCd1Fc90Ca5f
— FURUCOMBO (@furucombo) February 27, 2021
攻擊發上兩個小時後,FuruCombo 於台北時間清晨 5:12 向用戶表示,該團隊已採取必要措施保護剩餘用戶資金,原本的攻擊手法已經失效。除了特定服務中斷外,其餘服務仍正常運作,平台與資金都已安全,稍後,該團隊也公佈了此次遭駭客攻擊共損失 1,500 萬美元。
FuruCombo 團隊於推特表示:
FuruCombo Proxy 合約攻擊估計有 1,500 萬美元受到影響。平台跟資金都已經安全,我們正在處理復原計畫。有任何消息都會及時更新給大家。
UPDATE:
The Furucombo proxy was compromised and US$15m was affected. The Furucombo platform and user funds are now safe. We are working on a mitigation plan that we will share with the community as soon as possible.
— FURUCOMBO (@furucombo) February 27, 2021
駭客攻擊過程
同日台北時間凌晨 3:08 分,《The Block》研究員伊戈爾(Igor Igamberdiev)在推特分析 FuruCombo 遭駭過程,表示駭客讓 Furucombo 協議誤以為他們的合同是Aave的新版本。
伊戈爾表示:
攻擊者使用假合約使 Furuсombo Proxy 誤以為 Aave v2 有新的執行命令,
因此導致所有與 Aave v2 互動的資金都被授權轉移至駭客錢包。
So what happened to Furuсombo👇
An attacker using a fake contract made Furuсombo think that Aave v2 has a new implementation.
Because of this, all interactions with ‘Aave v2’ allowed transfers approved tokens to an arbitrary address. pic.twitter.com/gQVxJqiAmL— Igor Igamberdiev (@FrankResearcher) February 27, 2021
本次遭駭事件,駭客並沒有使用之前常見攻擊手法,就惡意合同漏洞中消耗資金,而是利用了此功能來轉移每個授與代幣權限用戶的資金。
白帽駭客和 DeFi Italy 的共同創辦人博納西(Emiliano Bonassi)向 《Cointelegraph》表示,無限權限意味著你可以清除所有與 Furucombo 有互動的用戶。 而這種攻擊手法似乎在近期越來越常見,短短幾個月內就有超過 7,000 萬美元的用戶資金遭竊取。
延伸閱讀:盤點2020以太坊安全事件:DeFi合約攻擊60逾起,損失高達2.5億美元
Cream.Finance 連帶受影響
FuruCombo 遭駭事件傳出,麻吉大哥黃立成旗下的台灣 DeFi 借貸協議 Cream Finance 連帶受到影響。
根據官方推特,Cream Finance 表示此次攻擊影響到該協議的儲備金帳戶,目前已撤銷錢包對外外部合約的授權,估計損失 110 萬美元。目前 Cream 市場已正常運作不受影響。
Cream Finance 官方推文表示:
此次攻擊影響到我們的儲備金帳戶,目前團隊已撤銷錢包對外外部合約的授權,估計損失 110 萬美元。所有 C.R.E.A.M. 的市場皆運作正常不受影響。我們將等候 Furucombo 團隊更新。
This exploit affected our treasury funds. We have revoked all approvals to external contracts from our wallets, but suffered a lost of $1.1M.
C.R.E.A.M. markets are functionally normally and not impacted.
We will await further details from the Furucombo team. https://t.co/MkTm3ouXBd
— Cream Finance 🍦 (@CreamdotFinance) February 27, 2021
📍相關報導📍
資安專欄|Cream& Alpha Finance被駭經過梳理,共損失13,244枚ETH
安全報告|COVER連遭兩次攻擊,DeFi保險協議該如何自保?
技術詳解|DeFi 穩定幣項目 OUSD 遭「重入攻擊」,損失高達 770 萬美元
讓動區 Telegram 新聞頻道再次強大!!立即加入獲得第一手區塊鏈、加密貨幣新聞報導。
LINE 與 Messenger 不定期為大家服務
