Author

Topic: Взломали Furucombo (Read 203 times)

sr. member
Activity: 1092
Merit: 254
March 11, 2021, 09:49:52 AM
#7
Вот тебе и DeFi. Собственно по сабжу. Злоумышленник скомпрометировал прокси-сервер этого Лего конструктора  и увел эфира и токенов на сумму в 14 миллионов зеленых рублей. Их твитер пишет что на 15, форклог на 14. Пользователям порекомендовали из соображения безопасности поудалять одобрение токенов.

https://forklog.com/defi-proekt-furucombo-vzlomali-na-14-mln/

https://twitter.com/furucombo/status/1365805935109677056



Ну, не только с ДеФи проектами такое происходит. Это сплошь и рядом, даже самые проверенные и надёжные и биржи, и платформы попадали под такую волну. Застраховаться от таких моментов бывает очень непросто. Ребята что взламывают, довольно находчивые, как бы ни печально это звучало. А там где открывается хороший поток средств, там всегда они активизируются.
legendary
Activity: 2632
Merit: 1450
March 05, 2021, 04:35:10 AM
#6
Имхо, контракт - это контракт, сервер - это сервер (в 99% случаях понимания сути вещей), тем более форклог пишет для среднестатистического пользователя.
Принято.
По revoke пока не разобрался, как отменить unlimited разрешения.

еще вариант
https://tac.dappstar.io/#/address/
sr. member
Activity: 1337
Merit: 288
0xbt
March 05, 2021, 04:22:42 AM
#5
Имхо, контракт - это контракт, сервер - это сервер (в 99% случаях понимания сути вещей), тем более форклог пишет для среднестатистического пользователя.
Принято.
По revoke пока не разобрался, как отменить unlimited разрешения.
legendary
Activity: 2744
Merit: 1706
bitgesell.fun & bitgesell.space
March 03, 2021, 03:31:46 AM
#4
sr. member
Activity: 1337
Merit: 288
0xbt
March 02, 2021, 03:57:56 PM
#3
Ознакомился с тем, что пишет  форклог. Походу они  перепутали "божий дар с яичницей". Был "модифицирован" код смарт контракта Furucombo, а не хакнуто железо в виде  прокси, если я все правильно понял.
У форклога прокси_сервер=смарт_контракт. Точка! Smiley

Ага, только вот форклог все правильно написал - атака была направлена на proxy smart contract Furucombo.
Подобные смарт контракты часто и называю своего рода прокси сервером.
Попробую грубо пояснить, что это такое:
Т.к. смарт контракты неизменны, иногда в них находят ошибки и уязвимости. И для того, чтобы исправить ошибку, пишется proxy контракт,
в который достаточно внести адрес нового-обновленного контракта. Proxy контракты применяют не только для этого.
Подробнее:
https://docs.openzeppelin.com/upgrades-plugins/1.x/proxies
https://blog.openzeppelin.com/proxy-patterns/

Но данная атака не имела бы смысла, если бы пользователи не допускали стандартную, частую ошибку:
А именно - не одобряли бы контракт(функция approve, часто пишется - разблокировать токен) на максимальную величину.
Хакер проанализировал адреса пользователей и снял токены, которые они одобрили контракту и снял их непосредственно с кошельков жертв.
Да, конечно не экономно одобрять контракт на конкретную сумму, т.к. в следующий раз вновь придется платить копейку.
Но это уже наши трудности, сам грешен.

Есть хороший ресурс, позволяющий взглянуть на то, кому и сколько мы наодобряли:
https://revoke.cash/
Кстати там же вы сможете сделать отмену своих разрешений.
legendary
Activity: 2744
Merit: 1706
bitgesell.fun & bitgesell.space
March 01, 2021, 05:30:28 AM
#2
Вот тебе и DeFi. Собственно по сабжу. Злоумышленник скомпрометировал прокси-сервер этого Лего конструктора  и увел эфира и токенов на сумму в 14 миллионов зеленых рублей. Их твитер пишет что на 15, форклог на 14. Пользователям порекомендовали из соображения безопасности поудалять одобрение токенов.

https://forklog.com/defi-proekt-furucombo-vzlomali-na-14-mln/

https://twitter.com/furucombo/status/1365805935109677056
Скорее бы их всех повзламывали, чтобы народ с DeFi слез  а то загозавали эфир по самое немогу. Уже несколько месяцев эфирки лежат и никаких транзакций не делаю. Другая  сторона медали - завтра хардфорк Кардано будет и там появятся смартконтракты. Там уже такой херни не будет. Поэтому на эфирке нужно побольше  взломов, хороших и разных .
Сначала все (когда транзакций и юза платформы с гулькин нос) гарантируют что всё будет гуд (тот же EOS не даст соврать). Но как только происходит нагрузка, все, туши свет. И тогда понимаешь что "старый друг лучше новых двух".

Ознакомился с тем, что пишет  форклог. Походу они  перепутали "божий дар с яичницей". Был "модифицирован" код смарт контракта Furucombo, а не хакнуто железо в виде  прокси, если я все правильно понял.
У форклога прокси_сервер=смарт_контракт. Точка! Smiley
hero member
Activity: 969
Merit: 683
___________/\_______
February 28, 2021, 08:49:28 AM
#1
Вот тебе и DeFi. Собственно по сабжу. Злоумышленник скомпрометировал прокси-сервер этого Лего конструктора  и увел эфира и токенов на сумму в 14 миллионов зеленых рублей. Их твитер пишет что на 15, форклог на 14. Пользователям порекомендовали из соображения безопасности поудалять одобрение токенов.

https://forklog.com/defi-proekt-furucombo-vzlomali-na-14-mln/

https://twitter.com/furucombo/status/1365805935109677056

Jump to: