편집자 주: 이 기사의 출처는PeckShield（ID：PeckShield）, 승인을 받아 Odaily에서 재인쇄했습니다.

편집자 주: 이 기사의 출처는

, 승인을 받아 Odaily에서 재인쇄했습니다.

베이징 시간으로 2월 28일 이른 시간, 이더리움 프로토콜 조합 도구인 Furucombo 스마트 계약에 심각한 취약점이 나타났습니다. 공격자는 이 취약점을 악용하여 1,400만 달러 이상을 벌어들였습니다.

PeckShield 분석 결과 이 ​​취약점은 며칠 전 Primitive Finance에 등장한 취약점과 동일하며 사용자의 무제한 인증과 관련이 있는 것으로 나타났습니다.

Cream Finance는 적시에 지갑에서 외부 계약에 대한 모든 권한을 취소하지 않았기 때문에 이 취약점의 영향을 받아 약 110만 달러의 손실을 입었습니다."

2020년 3월에 출시된 DeFi 애그리게이터 Furucombo는 처음에는 Uniswap V1 거래 및 복합 공급 기능만 지원했습니다. 2020년 12월 Furucombo는 Uniswap, Compound 및 Aave와 같은 프로토콜을 추가했습니다.

CEO Hsuan-Ting Chu는 다음과 같이 말했습니다.

동시에 Furucombo를 통해 사용자는 무담보 빠른 대출을 하고 원하는 자산을 빌릴 수 있습니다.

PeckShield는 추적 및 분석을 통해 Furucombo 프로토콜이 Lego와 유사하며 이 취약점은 사용자의 무제한 권한과 관련이 있음을 발견했습니다. 첫째, 공격자는 공격 스마트 계약을 생성하고 이를 취약한 Furucombo 에이전트에서 실행합니다.

Furucombo는 화이트리스트에서 AaveLendingPoolv2 함수를 호출하고 함수에 공격 계약의 주소를 첨부하고 제공된 공격 계약을 추가로 호출할 수 있는 AaveLendingPoolv2::initialize() 함수를 호출합니다.

마지막으로 사용자가 권한을 철회하지 않으면 공격자는 Furucombo 프록시를 공격하여 사용자 지갑의 자산을 훔칠 수 있습니다.

유동성 채굴을 중심으로 DeFi는 2020년에 다시 도약하여 이 분야에서 점점 더 다양한 방식으로 금융 혁신의 초점이 될 것입니다. 다양한 가치 있는 자산이 프로토콜에 저장되어 있기 때문에 DeFi 역시 가장 공격받기 어려운 영역이 되었습니다.

PeckShield 보안 전문가는 "DeFi 애그리게이터 Furucombo는 레고를 극한까지 플레이했지만 각 링크의 감사가 훨씬 더 중요합니다. 새로운 조합은 계속 변경되고 적응될 것이므로 정기적이고 지속적인 계약 모니터링이 필요합니다. 틱 대신 보안 감사 시작하기 전에 상자."

자산을 다룰 때는 신중하게 승인하십시오. DeFi는 신뢰 비용이 매우 높은 전례 없는 성장기를 겪고 있습니다.