Der letzte „evil contract“ Angriff hat bei einem Angreifer über $14 Millionen erbeutet. Furucombo, ein Werkzeug, das entwickelt wurde, um Nutzern zu helfen, Geschäfte und Wechselwirkungen mit mehreren dezentralisierten Finanzierungsprotokollen (DeFi) auf einen Schlag zu „bündeln“, wurde gegen 16:45 Uhr UTC das Ziel des Angriffs, bei dem es um Token-Freigaben von Benutzern ging.
Die Angreifer-Adresse verfügt derzeit über $14 Millionen an verschiedenen Kryptowährungen, aber die Attacke erscheint größer zu sein, da sie über die vergangene Stunde ETH in Stapeln an den Privatsphäre-Mixer Tornado Cash übertragen haben.
Diese Attacke ist vom Konzept her ähnlich wie der 20-Millionen-Dollar-„evil jar“-Angriff, der letztes Jahr Pickle Finance getroffen hat, sowie der 37 Millionen-Dollar-„evil spell“ -Angriff, der Alpha Finance zu Beginn dieses Monats traf. Bei solchen „evil contract“-Exploits schafft ein Angreifer einen Kontrakt, der einem bestimmten Protokoll vortäuscht, er würde dort hingehören, sodass er Zugriff auf Protokollgelder erhält.
In diesem Falle hat er dem Furucombo-Protokoll vorgegaukelt, der Vertrag sei eine Version von Aave. Anstatt wie bei anderen Angriffen auf bösartige Kontrakte Gelder aus dem Protokoll abzuschöpfen, machte sich der Angreifer in diesem Fall die Möglichkeit zunutze, die Geldmittel aller Benutzer zu transferieren, welche dem Protokoll Token-Rechte eingeräumt hatten.
„Unendliche Rechte bedeutet, dass Sie jeden, der auf Furucombo reagiert hat, löschen können“, so der Whitehat-Hacker und Co-Mitbegründer von DeFi Italy Emiliano Bonassi in einer Stellungnahme.
Dieser Typ von Missbrauch scheint immer populärer zu werden, mittlerweile sind über 70 Millionen US-Dollar an Anwendergeldern in nur sehr wenigen Monaten verschwunden.
In einem Tweet hat das Team den Angriff noch einmal ausdrücklich bestätigt und erklärt, dass man davon ausgeht, die Lücke entschärft zu haben, aber empfiehlt, „aus Vorsicht“ die Zugriffsrechte zu entziehen. Dazu können Anwender Tools wie revoke.cash verwenden.
Die Attacke kommt in einer Zeit, in der man in der DeFi-Welt verstärkt über die Sicherheitslage und den Nutzwert von Audits in Firmen nachdenkt. In den vergangenen drei Monaten sind drei unterschiedliche Dienste für Auditing und Code Review entstanden, von denen jeder ein unterschiedliches Incentive-Modell hat, das zu gründlicheren und aktiveren Sicherheitspraktiken ermutigen soll.