北京时间 2 月 28 日凌晨,以太坊协议组合东西 Furucombo 智能合约出现一个严峻缝隙。进犯者现已使用该缝隙获利超越 1400 万美元。
PeckShield (派盾)剖析发现,该缝隙与几天前 Primitive Finance 出现的缝隙原理相同,与用户的无限授权有关。
因为 Cream Finance 未及时从钱包里吊销所有对外部合约的授权,因此遭到该缝隙的影响,造成损践约 110 万美元。
DeFi 聚合器 Furucombo 于 2020 年 3 月推出,最初只支持 Uniswap V1 买卖及 Compound 供给功能。2020 年12月,Furucombo 添加连接 Uniswap,Compound 和 Aave 等协议。
其首席执行官 Hsuan-Ting Chu 曾表明:“ Furucombo 不同于 1inch 和 Yearn Finance,Furucombo 聚合各种 DeFi 协议。使用 Furucombo,所有都 '无需许可'。"
一起,Furucombo 答应用户进行无典当快速借款和借入任何数量的财物。
PeckShield (派盾)通过追踪和剖析发现,Furucombo 协议具有乐高性,此次缝隙与用户的无限授权有关。首先进犯者制作了一个进犯智能合约,并将其运转于易遭到进犯的 Furucombo 署理中;
Furucombo 调用白名单中的 AaveLendingPoolv2 函数,并在函数中顺便进犯合约地址,调用 AaveLendingPoolv2::initialize()函数,该函数可进一步调用供给的进犯合约;
最后,在用户未吊销授权的情况下,进犯者可通过进犯 Furucombo 署理,盗取用户钱包里的财物。
在流动性挖矿的引领下,DeFi 于 2020 年再次起飞,并成为金融革新的焦点,在这一范畴的玩法也越发多样。因为协议内存放着各类有价财物,让 DeFi 亦成为被进犯的重灾区。
PeckShield 安全专家表明:“DeFi 聚合器 Furucombo 把乐高性玩到极致的一起,对每个环节的审计更是至关重要,新的组合会不断变化和习惯,这就要求对合约进行定时的、继续的安全审计,而不是在启动前打勾。”
在处理财物时,需谨慎授权。DeFi 正经历一个史无前例的增长时期,在这个时期,信赖的成本非常高。
跟着 DeFi 职业规划迅猛增长,尤其是业务和运营合作上的不断发力,组合过程中潜在的安全问题会益发凸显出来。黑客在进犯某一 DeFi 合约缝隙获利后,会使用同原理的缝隙对其他 DeFi 合约进行依次进犯。
PeckShield (派盾)提示各 DeFi 合约,一旦发生进犯事件后,应自查代码,如果对此不了解,及时找专业的审计机构进行审计和研究,防患于未然。
视野开拓
对风险带有偏见的反应是导致公共政策中优先处理权不稳定和错位的重要原因。立法者和监管人员对民众的无理要求可能会反应过度,因为他们有着很强的政治敏感性,也因为他们和其他民众一样容易抱有同样的认知偏见。 效用层叠(availability cascade):有些情况下,关于某一风险的媒体报道能抓住部分公众的注意力,这部分注意力进而会变成激愤和焦虑。这种情感反应本身就是一种宣扬,会推动媒体跟进报道,继而会令人产生更大的焦虑,波及面也更大。这个循环有时候会因为那些专门负责连续不断地散布扰乱民心消息的个人或组织的刻意操纵而加速运行。媒体竞相制造吸引人眼球的头条新闻,危险也随之升级。一些科学家和其他领域的人士试图抑制这种日益增长的恐惧和厌恶情绪,然而收效甚微,非但没有达成初衷,反而激起了不少敌意:所有宣称危险有些夸大其词的人都有“欲盖弥彰”的嫌疑。 我们的大脑解决小风险的能力有一个基本限度:我们要么完全忽视风险,要么过于重视风险,没有中间地带。……概率忽视和效用层叠两种社会机制的组合必然会导致对小威胁的夸大,有时还会引发严重后果。-《快思慢想》
![[余烬Ember]以太坊ETF决议前市场悲观,美国司法部指控大学生涉及以太坊MEV洗钱行为](https://pic.rmb.bdstatic.com/bjh/user/31a4de3fbc29f1c46df415cdd9133c30.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
![[鬼谷子BTC]](https://pic.rmb.bdstatic.com/bjh/user/5b26477ae709a2bf5da2d50ab2995c3d.jpeg?x-bce-process=image/resize,m_fill,w_300,h_200/format,f_auto)
