Furucombo被盜1400萬美元啟示錄：切勿過度授權_UCO:COMBO

北京時間2月28日凌晨，以太坊協議組合工具Furucombo智能合約出現一個嚴重漏洞。攻擊者已經利用該漏洞獲利超過1400萬美元。

PeckShield分析發現，該漏洞與幾天前PrimitiveFinance出現的漏洞原理相同，與用戶的無限授權有關。

由于CreamFinance未及時從錢包里撤銷所有對外部合約的授權，因此受到該漏洞的影響，造成損失約110萬美元。?

LBank Labs宣布投資NFT utility平臺Furion:據官方消息，LBank Labs宣布投資NFT utility平臺Furion，Furion是一個自由、無需許可的NFT utility平臺，通過將NFT轉換為碎片化ERC20代幣的形式，Furion用戶可以在平臺上自由的買賣部分NFT，以及使用等效的ERC20代幣進行借貸、swapping、做空做多NFT等操作。

LBank Labs 管理資產規模為1億美元，致力于支持和幫助Web3初創企業的發展，為他們提供資源支持，幫助他們在競爭激烈的市場中脫穎而出。[2023/6/22 21:55:04]

DeFi聚合器Furucombo于2020年3月推出，最初只支持UniswapV1交易及Compound供應功能。2020年12月，Furucombo添加連接Uniswap，Compound和Aave等協議。

Polygon宣布與可組合性DeFi平臺Furucombo達成合作:6月7日消息，以太坊擴容方案Polygon宣布與可組合性DeFi平臺Furucombo達成合作。此次合作將使Furucombo擴大組合范圍，為每個用戶提供更全面的DeFi協議，同時減少費用及確認時間。目前，Furucombo已經整合了以下部署在Polygon上的流行DeFi協議，如Aave、Sushiswap、Quickswap和Curve。很快，將支持更多的協議。[2021/6/8 23:19:14]

其首席執行官Hsuan-TingChu曾表示：“Furucombo不同于1inch和YearnFinance，Furucombo聚合各種DeFi協議。使用Furucombo，所有都'無需許可'。"

幣在（BitZ）：ETH與ERC20代幣充提正常，不受Infura宕機影響:11月11日，提供免費的以太坊節點RPC API服務的Infura發生宕機，導致部分交易平臺ETH與ERC20代幣充提業務受到影響。

對此幣在相關負責人表示，團隊使用的是不同云服務商、不同區域部署的ETH全節點集群，同時還選取了多個第三方服務商（例如Infura、etherscan等）的數據進行比較，在區塊異常的時候會自動剔除個別節點或者服務商，并有工程師24小時值守響應，在極短的時候定位原因和確保資金安全，因此不受影響，用戶可正常充提ETH與ERC20代幣。[2020/11/11 12:20:58]

同時，Furucombo允許用戶進行無抵押快速貸款和借入任何數量的資產。

PeckShield通過追蹤和分析發現，Furucombo協議具有樂高性，此次漏洞與用戶的無限授權有關。首先攻擊者制造了一個攻擊智能合約，并將其運行于易受到攻擊的Furucombo代理中；

Furucombo調用白名單中的AaveLendingPoolv2函數，并在函數中附帶攻擊合約地址，調用AaveLendingPoolv2:：initialize函數，該函數可進一步調用提供的攻擊合約；

最后，在用戶未撤銷授權的情況下，攻擊者可通過攻擊Furucombo代理，盜取用戶錢包里的資產。

在流動性挖礦的引領下，DeFi于2020年再次起飛，并成為金融革新的焦點，在這一領域的玩法也越發多樣。由于協議內存放著各類有價資產，讓DeFi亦成為被攻擊的重災區。

PeckShield安全專家表示：“DeFi聚合器Furucombo把樂高性玩到極致的同時，對每個環節的審計更是至關重要，新的組合會不斷變化和適應，這就要求對合約進行定期的、持續的安全審計，而不是在啟動前打勾。”

在處理資產時，需謹慎授權。DeFi正經歷一個前所未有的增長時期，在這個時期，信任的成本非常高。

隨著DeFi行業規模迅猛增長，尤其是業務和運營合作上的不斷發力，組合過程中潛在的安全問題會愈發凸顯出來。黑客在攻擊某一DeFi合約漏洞獲利后，會利用同原理的漏洞對其他DeFi合約進行依次攻擊。

PeckShield提示各DeFi合約，一旦發生攻擊事件后，應自查代碼，如果對此不了解，及時找專業的審計機構進行審計和研究，防患于未然。

Tags：FURCOMCOMBOUCOFUR價格Compound Basic Attention Tokencombo幣發行總量Kucoin

pepe最新價格