DeFi-проект Furucombo взломали на $14 млн

[Info]

Команда Furucombo сообщила, что злоумышленник скомпрометировал прокси-сервер DeFi-проекта, ущерб составил около $14 млн в Ethereum и токенах ERC-20.

twitter.com/furucombo/status/1365743632460910593

Furucombo предоставляет пользователям инструмент, который позволяет визуально комбинировать цепочки транзакций с различными DeFi-протоколами.

По словам исследователя The Block Игоря Игамбердиева, хакер использовал поддельный контракт, который заставил Furucombo решить, что Aave v2 имеет новую имплементацию. Это дало возможность при взаимодействии с этим DeFi-протоколом переводить одобренные токены на произвольный кошелек.

twitter.com/FrankResearcher/status/1365740713334493192

Эксперт привел перечень украденных активов.

i.ibb.co/sJ94XNx/31e01b81f226.jpg

Взлом произошел в 16:47 UTC. Команда проекта считает, что исправила уязвимость, но из соображений безопасности рекомендовала пользователям удалить одобрение токенов.

В Furucombo обещали уведомить сообщество о дальнейших предпринимаемых действиях.

Согласно данным Etherscan, хакер активно выводит похищенные активы, в том числе с помощью сервиса микширования Tornado Cash.

• Source: etherscan.io/address/0xb624e2b10b84a41687caec94bdd484e48d76b212