Un hacker siphonne 14 millions de dollars au protocole Furucombo

Le protocole de finance décentralisée (DeFi) Furucombo a perdu 14 millions de dollars après l’exploitation d’une faille par un hacker. Par prudence, les utilisateurs doivent révoquer les autorisations données à l’application en utilisant l'outil approved.zone

Un hacker siphonne 14 millions de dollars au protocole Furucombo

Une faille dans le protocole Furucombo

Furucombo est un outil conçu pour aider les utilisateurs à « grouper » les transactions et les interactions avec plusieurs protocoles de la finance décentralisée (DeFi).

Le protocole a été victime d'une attaque samedi vers 17h45 et a perdu l’équivalent de 14 millions de dollars en Ether (ETH) et tokens ERC-20. Nous pouvons voir une première estimation du butin ci-dessous :

Comment est-ce possible ? L’assaillant a utilisé un faux contrat pour faire croire à l’application qu’il s’agissait d’une mise à jour de Aave v2.

À partir de là, au lieu de drainer les fonds du protocole comme dans les précédents exploits, l’attaquant a profité de la possibilité de transférer les fonds de chaque utilisateur qui avait donné des autorisations de retrait au protocole. L’auteur de l’attaque a ensuite envoyé une partie des fonds au mixer Tornado Cash pour empêcher le suivi des transactions.

Actuellement, l’adresse du hacker contient plus de 4 560 ETH, d’une valeur approximative de 6,8 millions de dollars, et plus de 7 millions de dollars en tokens ERC20, dont plus de 5,5 millions en stablecoin DAI. Ces avoirs n’incluent pas les fonds qui ont été envoyés à Tornado Cash pour être blanchis.

👉 Retrouvez notre Podcast #10 - Les astuces et bons comportements pour la DeFi

Prudence avec Furucombo

L’équipe de Furucombo a confirmé l’attaque dans un Tweet, disant qu’elle « croyait » avoir atténué la faille, mais a recommandé à ses utilisateurs de révoquer les autorisations « par excès de prudence ».

Emiliano Bonassi, cofondateur de DeFi Italie, a déclaré :

« Les autorisations infinies signifient que vous pouvez liquider tous ceux qui ont interagi avec Furucombo. »

Ainsi, toutes les personnes ayant interagi avec l'application Furucombo doivent révoquer l’autorisation de retirer des fonds de leurs portefeuilles en utilisant des outils tels que Revoke.cash ou Approved.zone. Les adresses des contrats Furucombo à vérifier sont :

  • 0x57805e5a227937BAc2B0FdaCaA30413ddac6B8E1
  • 0x17e8ca1b4798b97602895f63206afcd1fc90ca5f

En 2020, nous avons assisté à plusieurs attaques malveillantes de protocole de la DeFi. Parmi les victimes, citons notamment Harvest Finance, Value DeFi, Akropolis, Cheese Bank et Pickle Finance.

L’attaque de Furucombo est un énième rappel pour les utilisateurs d’application de considérer sérieusement la sécurité des contrats et de prendre des précautions lorsque les fonds engagés sont importants.

👉 Pour aller plus loin - Les attaques liées à la finance décentralisée ont explosé en 2020

[wd_hustle id="Newsletter" type="embedded"/]
guest
0 Commentaires
Inline Feedbacks
View all comments
Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Achetez sur Binance

-10% de réduction sur les frais, avec le
code SVULQ98B 🔥 Et aussi -10% sur
Binance Futures avec le code cryptoast

Les articles les plus lus

Le ministère de l’Économie a demandé l'accès au solde de tous les comptes bancaires des Français

Le ministère de l’Économie a demandé l'accès au solde de tous les comptes bancaires des Français

Celsius : les clients n’auront pas besoin de rembourser leurs emprunts

Celsius : les clients n’auront pas besoin de rembourser leurs emprunts

La plus grande société de télécommunications européenne lance un service de staking Ethereum (ETH)

La plus grande société de télécommunications européenne lance un service de staking Ethereum (ETH)

Le Bitcoin (BTC) et l'Ether (ETH) toujours sous résistances – Enfin le mouvement que tout le monde attend ?

Le Bitcoin (BTC) et l'Ether (ETH) toujours sous résistances – Enfin le mouvement que tout le monde attend ?

Achetez sur Binance

-10% de réduction sur les frais, avec le
code SVULQ98B 🔥 Et aussi -10% sur
Binance Futures avec le code cryptoast