Un hacker siphonne 14 millions de dollars au protocole Furucombo
Le protocole de finance décentralisée (DeFi) Furucombo a perdu 14 millions de dollars après l’exploitation d’une faille par un hacker. Par prudence, les utilisateurs doivent révoquer les autorisations données à l’application en utilisant l'outil approved.zone
le 28 février 2021 à 15:15.
2 minutes de lecture
Une faille dans le protocole Furucombo
Furucombo est un outil conçu pour aider les utilisateurs à « grouper » les transactions et les interactions avec plusieurs protocoles de la finance décentralisée (DeFi).
Le protocole a été victime d'une attaque samedi vers 17h45 et a perdu l’équivalent de 14 millions de dollars en Ether (ETH) et tokens ERC-20. Nous pouvons voir une première estimation du butin ci-dessous :
What was stolen ($14M+):
- 3,9k stETH
- 2.4M USDC
- 649k USDT
- 257k DAI
- 26 aWBTC
- 270 aWETH
- 296 aETH
- 2.3k aAAVE
- 4 WBTC
- 90k CRV
- 43k LINK
- 7.3k cETH
- 17.2M cUSDC
- 69 cWBTC
- 142.2M BAO
- 38.6k PERP
- 30.4k COMBO
- 75k PAID
- 225k UNIDX
- 342 GRO
- 19k NDX— Igor Igamberdiev (@FrankResearcher) February 27, 2021
Comment est-ce possible ? L’assaillant a utilisé un faux contrat pour faire croire à l’application qu’il s’agissait d’une mise à jour de Aave v2.
À partir de là, au lieu de drainer les fonds du protocole comme dans les précédents exploits, l’attaquant a profité de la possibilité de transférer les fonds de chaque utilisateur qui avait donné des autorisations de retrait au protocole. L’auteur de l’attaque a ensuite envoyé une partie des fonds au mixer Tornado Cash pour empêcher le suivi des transactions.
Actuellement, l’adresse du hacker contient plus de 4 560 ETH, d’une valeur approximative de 6,8 millions de dollars, et plus de 7 millions de dollars en tokens ERC20, dont plus de 5,5 millions en stablecoin DAI. Ces avoirs n’incluent pas les fonds qui ont été envoyés à Tornado Cash pour être blanchis.
👉 Retrouvez notre Podcast #10 - Les astuces et bons comportements pour la DeFi
Prudence avec Furucombo
L’équipe de Furucombo a confirmé l’attaque dans un Tweet, disant qu’elle « croyait » avoir atténué la faille, mais a recommandé à ses utilisateurs de révoquer les autorisations « par excès de prudence ».
Emiliano Bonassi, cofondateur de DeFi Italie, a déclaré :
« Les autorisations infinies signifient que vous pouvez liquider tous ceux qui ont interagi avec Furucombo. »
Ainsi, toutes les personnes ayant interagi avec l'application Furucombo doivent révoquer l’autorisation de retirer des fonds de leurs portefeuilles en utilisant des outils tels que Revoke.cash ou Approved.zone. Les adresses des contrats Furucombo à vérifier sont :
- 0x57805e5a227937BAc2B0FdaCaA30413ddac6B8E1
- 0x17e8ca1b4798b97602895f63206afcd1fc90ca5f
En 2020, nous avons assisté à plusieurs attaques malveillantes de protocole de la DeFi. Parmi les victimes, citons notamment Harvest Finance, Value DeFi, Akropolis, Cheese Bank et Pickle Finance.
L’attaque de Furucombo est un énième rappel pour les utilisateurs d’application de considérer sérieusement la sécurité des contrats et de prendre des précautions lorsque les fonds engagés sont importants.
? Pour aller plus loin - Les attaques liées à la finance décentralisée ont explosé en 2020
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Engagé dans l’écosystème crypto depuis 2017. Je m’intéresse particulièrement aux tokens non fongibles (NFTs) et à la finance décentralisée (DeFi).
Florent D
397 articles
