Un hacker siphonne 14 millions de dollars au protocole Furucombo

Le protocole de finance décentralisée (DeFi) Furucombo a perdu 14 millions de dollars après l’exploitation d’une faille par un hacker. Par prudence, les utilisateurs doivent révoquer les autorisations données à l’application en utilisant l'outil approved.zone

Un hacker siphonne 14 millions de dollars au protocole Furucombo

Une faille dans le protocole Furucombo

Furucombo est un outil conçu pour aider les utilisateurs à « grouper » les transactions et les interactions avec plusieurs protocoles de la finance décentralisée (DeFi).

Le protocole a été victime d'une attaque samedi vers 17h45 et a perdu l’équivalent de 14 millions de dollars en Ether (ETH) et tokens ERC-20. Nous pouvons voir une première estimation du butin ci-dessous :

Comment est-ce possible ? L’assaillant a utilisé un faux contrat pour faire croire à l’application qu’il s’agissait d’une mise à jour de Aave v2.

À partir de là, au lieu de drainer les fonds du protocole comme dans les précédents exploits, l’attaquant a profité de la possibilité de transférer les fonds de chaque utilisateur qui avait donné des autorisations de retrait au protocole. L’auteur de l’attaque a ensuite envoyé une partie des fonds au mixer Tornado Cash pour empêcher le suivi des transactions.

Actuellement, l’adresse du hacker contient plus de 4 560 ETH, d’une valeur approximative de 6,8 millions de dollars, et plus de 7 millions de dollars en tokens ERC20, dont plus de 5,5 millions en stablecoin DAI. Ces avoirs n’incluent pas les fonds qui ont été envoyés à Tornado Cash pour être blanchis.

👉 Retrouvez notre Podcast #10 - Les astuces et bons comportements pour la DeFi

Prudence avec Furucombo

L’équipe de Furucombo a confirmé l’attaque dans un Tweet, disant qu’elle « croyait » avoir atténué la faille, mais a recommandé à ses utilisateurs de révoquer les autorisations « par excès de prudence ».

Emiliano Bonassi, cofondateur de DeFi Italie, a déclaré :

« Les autorisations infinies signifient que vous pouvez liquider tous ceux qui ont interagi avec Furucombo. »

Ainsi, toutes les personnes ayant interagi avec l'application Furucombo doivent révoquer l’autorisation de retirer des fonds de leurs portefeuilles en utilisant des outils tels que Revoke.cash ou Approved.zone. Les adresses des contrats Furucombo à vérifier sont :

  • 0x57805e5a227937BAc2B0FdaCaA30413ddac6B8E1
  • 0x17e8ca1b4798b97602895f63206afcd1fc90ca5f

En 2020, nous avons assisté à plusieurs attaques malveillantes de protocole de la DeFi. Parmi les victimes, citons notamment Harvest Finance, Value DeFi, Akropolis, Cheese Bank et Pickle Finance.

L’attaque de Furucombo est un énième rappel pour les utilisateurs d’application de considérer sérieusement la sécurité des contrats et de prendre des précautions lorsque les fonds engagés sont importants.

? Pour aller plus loin - Les attaques liées à la finance décentralisée ont explosé en 2020

La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Subscribe
Me notifier des
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

L’airdrop de Pudgy Penguins (PENGU), c’est aujourd’hui – Êtes-vous éligible ?

L’airdrop de Pudgy Penguins (PENGU), c’est aujourd’hui – Êtes-vous éligible ?

Le stablecoin RLUSD de Ripple débarque aujourd'hui

Le stablecoin RLUSD de Ripple débarque aujourd'hui

Base : Le Top 5 des projets à connaître sur la blockchain de Coinbase

Base : Le Top 5 des projets à connaître sur la blockchain de Coinbase

BTC à 180 000 $ et ETH à 6 000 $ : VanEck dévoile 10 prédictions pour le bull run crypto

BTC à 180 000 $ et ETH à 6 000 $ : VanEck dévoile 10 prédictions pour le bull run crypto