Protocolo de transações em lote Furucombo sofre hack de “contrato maligno” de US$ 14 milhões

O último exploit de “contrato maligno” rendeu a um invasor mais de US$ 14 milhões em fundos roubados.

Furucombo, uma ferramenta projetada para ajudar os usuários a transações em "lote" e interações com vários protocolos financeiros descentralizados (DeFi) ao mesmo tempo, foi vítima do ataque por volta das 16h45 UTC, que se concentrava na aprovação de tokens dos usuários.

O endereço do invasor atualmente tem US$ 14 milhões em várias criptomoedas, mas o ataque parece ser maior, pois eles transferiram ETH para o mixer de privacidade Tornado Cash em lotes nas últimas horas.

Este ataque é conceitualmente semelhante ao ataque de “jarro do mal” ('jarro' é o termo usado pelo protocolo para um cofre de rendimento) de US$ 20 milhões que atingiu a Pickle Finance no ano passado, bem como ao exploit de “feitiço maligno” (termo da marca Alpha para um contrato inteligente) de US$ 37 milhões que atingiu a Alpha Finance no início deste mês. Nessas explorações de “contrato maligno”, um invasor cria um contrato que engana um protocolo fazendo-o acreditar que pertence a ele, dando-lhe acesso aos fundos do protocolo.

Foi isso o que aconteceu com Furucombo:

Um invasor usando um contrato falso fez Furucombo pensar que o Aave v2 tem uma nova implementação. Por causa disso, todas as interações com ‘Aave v2’ permitiram transferências de tokens aprovados para um endereço arbitrário. 
pic.twitter.com/gQVxJqiAmL

— Igor Igamberdiev (@FrankResearcher) 27 de fevereiro de 2021

Neste caso, o invasor "enganou" o protocolo Furucombo fazendo-o pensar que seu contrato era uma nova versão de Aave. A partir daí, em vez de drenar fundos do protocolo como em exploits de contratos malignos anteriores, o invasor aproveitou a capacidade de transferir os fundos de todos os usuários que deram as permissões de token de protocolo.

“Permissões infinitas significam que você pode apagar todos que interagiram com Furucombo”, disse o hacker whitehat e co-fundador da DeFi Italy Emiliano Bonassi em um comunicado ao Cointelegraph.

Este tipo de exploração parece estar se tornando cada vez mais popular, agora respondendo por mais de US$ 70 milhões em fundos de usuários perdidos em apenas alguns meses.

A equipe confirmou o ataque em um tweet, dizendo que "acreditavam" que haviam mitigado a exploração, mas recomendou revogar as permissões "por precaução":

Hoje às 4:47 PM UTC, o proxy Furucombo foi comprometido por um invasor. Desautorizamos os componentes relevantes e acreditamos que a vulnerabilidade deve ser corrigida, mas recomendamos que os usuários removam as aprovações como uma cautela extra.

— FURUCOMBO (@furucombo) 27 de fevereiro de 2021

Os usuários podem utilizar ferramentas como revoke.cash para fazer isso.

O ataque ocorre durante um período de reflexão mais ampla no mundo DeFi sobre a segurança e a utilidade das empresas de auditoria. Nos últimos três meses, surgiram três serviços diferentes de auditoria e revisão de código, cada um com um modelo de incentivo diferente projetado para encorajar práticas de segurança mais completas e dinâmicas.

Leia mais:

• Pesquisa: Escritores de white paper podem ganhar US$ 50 mil, mas dizem que startups costumam enganar investidores
• ONG suíça aceita doações de criptomoedas para alimentação, saúde e educação para crianças africanas
• Banco Popular da China registra patente para carteira digital em moeda estrangeira