編集者注: この記事は以下から引用しましたPeckShield（ID：PeckShield）、許可を得てOdailyによって転載されました。

編集者注: この記事は以下から引用しました

、許可を得てOdailyによって転載されました。

北京時間2月28日未明、イーサリアムプロトコル組み合わせツール「フルコンボ」スマートコントラクトに重大な脆弱性が出現した。攻撃者はこの脆弱性を悪用して 1,400 万ドル以上を稼いでいます。

PeckShield の分析により、この脆弱性は数日前に Primitive Finance に出現した脆弱性と同じであり、ユーザーの無制限の承認に関連していることが判明しました。

Cream Finance はウォレットから外部契約に対するすべての承認を適時に取り消さなかったため、この脆弱性の影響を受け、約 110 万ドルの損失が発生しました。"

2020年3月にリリースされたDeFiアグリゲーターFurucomboは、当初Uniswap V1トランザクションと複合供給機能のみをサポートしていました。 2020 年 12 月に、Furucombo に Uniswap、Compound、Aave などのプロトコルが追加されました。

CEOのHsuan-Ting Chu氏はかつてこう述べた、「Furucomboは1inchやYarn Financeとは異なります。FurucomboはさまざまなDeFiプロトコルを集約しています。Furucomboではすべてが「パーミッションレス」です。

同時に、Furucombo を使用すると、ユーザーは無担保のクイック ローンを作成し、任意の金額の資産を借りることができます。

PeckShield は追跡と分析を通じて、Furucombo プロトコルが Lego に似ており、この脆弱性がユーザーの無制限の認証に関連していることを発見しました。まず、攻撃者は攻撃スマート コントラクトを作成し、脆弱な Furucombo エージェントで実行します。

フルコンボは、ホワイトリスト内の AaveLendingPoolv2 関数を呼び出し、関数内に攻撃コントラクトのアドレスを添付し、提供された攻撃コントラクトをさらに呼び出すことができる AaveLendingPoolv2::initialize() 関数を呼び出します。

最後に、ユーザーが認可を取り消さない場合、攻撃者はFurucomboプロキシを攻撃することでユーザーのウォレット内の資産を盗むことができます。

流動性マイニングに牽引されて、DeFi は 2020 年に再び軌道に乗り、この分野での活用方法がますます多様化し、金融イノベーションの中心となるでしょう。さまざまな貴重な資産がプロトコルに保存されているため、DeFi は最も攻撃を受けやすい領域でもあります。

PeckShieldのセキュリティ専門家は、「DeFiアグリゲーターのFurucomboはレゴを極限までプレイしてきたが、各リンクの監査はさらに重要である。新しい組み合わせは変化し適応し続けるため、定期的かつ継続的な契約の監視が必要となる。チェックの代わりにセキュリティ監査を行う」と述べた。発売前の箱。」

資産を扱う場合は、慎重に承認してください。 DeFiは、信頼コストが非常に高くなる前例のない成長期を迎えています。