Une faille dans le protocole Furucombo

Furucombo est un outil conçu pour aider les utilisateurs à « grouper » les transactions et les interactions avec plusieurs protocoles de la finance décentralisée (DeFi).

Le protocole a été victime d'une attaque samedi vers 17h45 et a perdu l’équivalent de 14 millions de dollars en Ether (ETH) et tokens ERC-20. Nous pouvons voir une première estimation du butin ci-dessous :

Comment est-ce possible ? L’assaillant a utilisé un faux contrat pour faire croire à l’application qu’il s’agissait d’une mise à jour de Aave v2.

À partir de là, au lieu de drainer les fonds du protocole comme dans les précédents exploits, l’attaquant a profité de la possibilité de transférer les fonds de chaque utilisateur qui avait donné des autorisations de retrait au protocole. L’auteur de l’attaque a ensuite envoyé une partie des fonds au mixer Tornado Cash pour empêcher le suivi des transactions.

Actuellement, l’adresse du hacker contient plus de 4 560 ETH, d’une valeur approximative de 6,8 millions de dollars, et plus de 7 millions de dollars en tokens ERC20, dont plus de 5,5 millions en stablecoin DAI. Ces avoirs n’incluent pas les fonds qui ont été envoyés à Tornado Cash pour être blanchis.

👉 Retrouvez notre Podcast #10 - Les astuces et bons comportements pour la DeFi

Prudence avec Furucombo

L’équipe de Furucombo a confirmé l’attaque dans un Tweet, disant qu’elle « croyait » avoir atténué la faille, mais a recommandé à ses utilisateurs de révoquer les autorisations « par excès de prudence ».

Emiliano Bonassi, cofondateur de DeFi Italie, a déclaré :

« Les autorisations infinies signifient que vous pouvez liquider tous ceux qui ont interagi avec Furucombo. »

Ainsi, toutes les personnes ayant interagi avec l'application Furucombo doivent révoquer l’autorisation de retirer des fonds de leurs portefeuilles en utilisant des outils tels que Revoke.cash ou Approved.zone. Les adresses des contrats Furucombo à vérifier sont :

  • 0x57805e5a227937BAc2B0FdaCaA30413ddac6B8E1
  • 0x17e8ca1b4798b97602895f63206afcd1fc90ca5f

En 2020, nous avons assisté à plusieurs attaques malveillantes de protocole de la DeFi. Parmi les victimes, citons notamment Harvest Finance, Value DeFi, Akropolis, Cheese Bank et Pickle Finance.

L’attaque de Furucombo est un énième rappel pour les utilisateurs d’application de considérer sérieusement la sécurité des contrats et de prendre des précautions lorsque les fonds engagés sont importants.

👉 Pour aller plus loin - Les attaques liées à la finance décentralisée ont explosé en 2020

Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque dimanche 👌 Et c'est tout.

A propos de l'auteur : Florent David

twitter-soothsayerdatatwitter-soothsayerdata

Engagé dans l’écosystème crypto depuis 2017. Je m’intéresse particulièrement à la finance décentralisée (DeFi), Ethereum 2.0 et les tokens non fongibles (NFTs).
Tous les articles de Florent David.

guest
0 Commentaires
Inline Feedbacks
View all comments