加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads

Furucombo被盜1400萬美元啟示錄:切勿過度授權_FUR:COMBO

Author:

Time:1900/1/1 0:00:00

北京時間 2 月 28 日凌晨,以太坊協議組合工具 Furucombo 智能合約出現一個嚴重漏洞。攻擊者已經利用該漏洞獲利超過 1400 萬美元。

PeckShield (派盾)分析發現,該漏洞與幾天前 Primitive Finance 出現的漏洞原理相同,與用戶的無限授權有關。

由于 Cream Finance 未及時從錢包里撤銷所有對外部合約的授權,因此受到該漏洞的影響,造成損失約 110 萬美元。?

Infura添加對Arbitrum Nova節點的支持:9月1日消息,作為Nova鏈數據可用性委員會 (DAC) 的成員,Infura已經添加對Arbitrum Nova節點的支持,以負責保持交易數據隨時可用。

此前消息,Arbitrum One已遷移至Nitro,鏈上活動已恢復。[2022/9/2 13:03:08]

DeFi 聚合器 Furucombo 于 2020 年 3 月推出,最初只支持 Uniswap V1 交易及 Compound 供應功能。2020 年12月,Furucombo 添加連接 Uniswap,Compound 和 Aave 等協議。

以太坊核心開發者:引起Infura服務中斷的Geth版本并未違背ETH共識:11月12日,以太坊核心開發者Péter Szilágyi發推公布Geth v1.9.17版本及Infura服務中斷事件事后剖析。根據Péter Szilágyi發布的內容,此前Geth版本v1.9.7(2019年11月7日發布)因存在破壞EIP 211提案實施的漏洞,于2020年7月15日被John Youngseok Yang發現并提交。隨后該漏洞在2020年7月20日發布的Geth v1.9.17版本中被默默修復。該修復程序使得Geth與Besu、Nethermind和OpenEthereum(以及以太坊規范本身)重新達成共識,但是又導致其與早期的Geth版本未達成共識。而這也是Infura服務中斷事件發生的原因,即并非所有節點運營商都在運行最新版本,故與老版本產生分歧。與此同時,針對Infura服務中斷社區中所產生的疑問,Péter Szilágyi給予答復:1.所謂“Geth團隊單方面進行共識升級”,Geth并沒有創建任何未經以太坊同意的新共識規則,EIP 211提案已于3年前網絡升級Byzantium時達成社區共識,因此對EIP 211的修復程序并非違反共識;2.所謂“默默修復程序未告知操作員”,因用戶的軟件更新速度需求及網絡安全性各種考慮,操作上存在灰色區域,需要逐案分析討論。[2020/11/12 12:24:35]

其首席執行官 Hsuan-Ting Chu 曾表示:“ Furucombo 不同于 1inch 和 Yearn Finance,Furucombo 聚合各種 DeFi 協議。使用 Furucombo,所有都 '無需許可'。"

Bitfury將在日本設立基金用于投資比特幣挖礦業務:比特幣技術公司Bitfury將于7月成立日本首個基金,用于投資比特幣的挖礦業務。此前,日本國內的機構投資者沒有辦法在加密貨幣基礎設施領域投資,但是該基金將為他們提供投資機會。(日經新聞)[2020/6/9]

同時,Furucombo 允許用戶進行無抵押快速貸款和借入任何數量的資產。

PeckShield (派盾)通過追蹤和分析發現,Furucombo 協議具有樂高性,此次漏洞與用戶的無限授權有關。首先攻擊者制造了一個攻擊智能合約,并將其運行于易受到攻擊的 Furucombo 代理中;

Furucombo 調用白名單中的 AaveLendingPoolv2 函數,并在函數中附帶攻擊合約地址,調用 AaveLendingPoolv2::initialize()函數,該函數可進一步調用提供的攻擊合約;

最后,在用戶未撤銷授權的情況下,攻擊者可通過攻擊 Furucombo 代理,盜取用戶錢包里的資產。

在流動性挖礦的引領下,DeFi 于 2020 年再次起飛,并成為金融革新的焦點,在這一領域的玩法也越發多樣。由于協議內存放著各類有價資產,讓 DeFi 亦成為被攻擊的重災區。

PeckShield 安全專家表示:“DeFi 聚合器 Furucombo 把樂高性玩到極致的同時,對每個環節的審計更是至關重要,新的組合會不斷變化和適應,這就要求對合約進行定期的、持續的安全審計,而不是在啟動前打勾。”

在處理資產時,需謹慎授權。DeFi 正經歷一個前所未有的增長時期,在這個時期,信任的成本非常高。

隨著 DeFi 行業規模迅猛增長,尤其是業務和運營合作上的不斷發力,組合過程中潛在的安全問題會愈發凸顯出來。黑客在攻擊某一 DeFi 合約漏洞獲利后,會利用同原理的漏洞對其他 DeFi 合約進行依次攻擊。

PeckShield (派盾)提示各 DeFi 合約,一旦發生攻擊事件后,應自查代碼,如果對此不了解,及時找專業的審計機構進行審計和研究,防患于未然。

Tags:FURCOMCOMBOCOMBQuantfuryKarate Combatcombo幣發行總量

Gate交易所
首發 | 硬核:區塊鏈促進工業互聯網創新發展(2021-2023)_區塊鏈:sonm幣轉換新代幣

本文由黃銳原創,授權金色財經首發。2021年1月13日,工業和信息化部對外發布了關于印發《工業互聯網創新發展行動計劃(2021-2023年)》的通知,這是繼2018年發布《工業互聯網發展行動計劃.

1900/1/1 0:00:00
多維度比較 Polkadot 與 Cardano:誰是真正的以太坊殺手?_DOT:CHAR

Polkadot 與 Cardano 都將發布重要的網絡更新,從創始人、技術與代幣經濟等角度比較這兩個公鏈巨頭。2021 年將是智能合約區塊鏈的一年.

1900/1/1 0:00:00
金色觀察|Coinbase上市文件23大看點_OIN:INB

2月25日,Coinbase提交的上市文件S-1表格已被美國證券交易委員會(SEC)認定有效,其將在納斯達克直接上市.

1900/1/1 0:00:00
7年巨虧121億 卻斥資2.6億狂買BTC、ETH 美圖在下什么棋_比特幣:區塊鏈

3月8日,美圖秀秀的母公司——港股上市公司美圖公司登上了微博熱搜,因為該公司高調宣布,購買了4000萬美元的以太幣和比特幣,約合人民幣2.6億元.

1900/1/1 0:00:00
美國ETF申請再添一員:Simplify希望推出股票+比特幣ETF_加密貨幣:CETF幣

由于美國證券交易委員會(SEC)仍不愿批準 ETF,美國 ETF 發行商一直在尋找以更具創造性的方式來構建產品.

1900/1/1 0:00:00
中幣(ZB)市場研究員:機構再買入328個比特幣_LTC:bitkeep錢包官網

加密市場從上周交易時段的大規模拋售情緒中得到了緩解,因為許多機構傾向于看多下跌。隨著高盛集團重新啟動加密貨幣交易部門,并將從下周開始為客戶處理比特幣期貨和不可交割遠期,比特幣和替代幣在本輪牛市中.

1900/1/1 0:00:00
ads