UCO:Furucombo被盜1400萬美元啟示錄：切勿過度授權_The Commission

北京時間2月28日凌晨，以太坊協議組合工具Furucombo智能合約出現一個嚴重漏洞。攻擊者已經利用該漏洞獲利超過1400萬美元。

PeckShield分析發現，該漏洞與幾天前PrimitiveFinance出現的漏洞原理相同，與用戶的無限授權有關。

由于CreamFinance未及時從錢包里撤銷所有對外部合約的授權，因此受到該漏洞的影響，造成損失約110萬美元。?

以太坊API服務供應商Infura已為柏林硬分叉升級準備就緒:2月25日消息，以太坊API服務供應商Infura宣布已為柏林硬分叉升級做好了準備，Infura的用戶無需采取任何措施。Infura團隊表示，如果用戶是自己運行的以太坊節點客戶端，就需要自己及時升級客戶端。此前在以太坊核心開發者會議上，開發者決定將于4月14日在區塊高度12244000處進行柏林硬分叉升級，升級內容包括對合約的各種優化，涵蓋Gas效率、對以太坊虛擬機（EVM）讀取代碼方式的更新以及防范DDOS攻擊的其他更改等。此次升級包括至少五個EIP，EIP-2565（ModExpGas成本）、EIP-2315（EVM的簡單子程序）、EIP-2929（狀態訪問操作碼的Gas成本增加）、EIP-2718（定義一個新的事務類型）和EIP-2930（可選的訪問列表），并將在部署前在四個以太坊測試網絡上進行發布。[2021/2/25 17:51:28]

DeFi聚合器Furucombo于2020年3月推出，最初只支持UniswapV1交易及Compound供應功能。2020年12月，Furucombo添加連接Uniswap，Compound和Aave等協議。

動態 | Hut 8與Bitfury修改關鍵協議，Hut 8首席執行官即將卸任:金色財經報道，比特幣礦業公司Hut 8 宣布，Andrew Kiguel將卸任首席執行官一職。在任命繼任人之前，Kiguel將繼續擔任首席執行官和董事會成員。該公司將為繼任者開始全面的搜索和選擇。此外，Hut 8還與Bitfury Holding BV（“ Bitfury”）訂立了一個非約束性的條款，修改兩家公司之間的關鍵協議，以降低運營成本并為Hut 8管理加拿大的業務提供更大的自主權。此外，Hut 8可以提高與外部設備供應商合作的靈活性，而Bitfury則可以與北美其他礦商合作。[2020/1/29]

其首席執行官Hsuan-TingChu曾表示：“Furucombo不同于1inch和YearnFinance，Furucombo聚合各種DeFi協議。使用Furucombo，所有都'無需許可'。"

動態 | 比特幣礦業巨頭Bitfury投資Shyft Network以構建去中心化產品:比特幣礦業巨頭Bitfury宣布戰略投資區塊鏈公司Shyft Networks，以開發面向政府的去中心化身份識別產品。此前，Shyft一直在打造其旅游規則產品團隊。今年10月，該公司聘用了前FATF高管。現在，Bitfury的子公司Exonum和Crysta也加入這一團隊。（CoinDesk）[2019/12/12]

同時，Furucombo允許用戶進行無抵押快速貸款和借入任何數量的資產。

PeckShield通過追蹤和分析發現，Furucombo協議具有樂高性，此次漏洞與用戶的無限授權有關。首先攻擊者制造了一個攻擊智能合約，并將其運行于易受到攻擊的Furucombo代理中；

Furucombo調用白名單中的AaveLendingPoolv2函數，并在函數中附帶攻擊合約地址，調用AaveLendingPoolv2:：initialize函數，該函數可進一步調用提供的攻擊合約；

最后，在用戶未撤銷授權的情況下，攻擊者可通過攻擊Furucombo代理，盜取用戶錢包里的資產。

在流動性挖礦的引領下，DeFi于2020年再次起飛，并成為金融革新的焦點，在這一領域的玩法也越發多樣。由于協議內存放著各類有價資產，讓DeFi亦成為被攻擊的重災區。

PeckShield安全專家表示：“DeFi聚合器Furucombo把樂高性玩到極致的同時，對每個環節的審計更是至關重要，新的組合會不斷變化和適應，這就要求對合約進行定期的、持續的安全審計，而不是在啟動前打勾。”

在處理資產時，需謹慎授權。DeFi正經歷一個前所未有的增長時期，在這個時期，信任的成本非常高。

隨著DeFi行業規模迅猛增長，尤其是業務和運營合作上的不斷發力，組合過程中潛在的安全問題會愈發凸顯出來。黑客在攻擊某一DeFi合約漏洞獲利后，會利用同原理的漏洞對其他DeFi合約進行依次攻擊。

PeckShield提示各DeFi合約，一旦發生攻擊事件后，應自查代碼，如果對此不了解，及時找專業的審計機構進行審計和研究，防患于未然。

Tags：FURCOMUCOCOMBOFUR幣The Commissionkucointopcombo幣暴跌

幣安app下載