事件配景

Furucombo推出于2020年3月份，支持Uniswap生意业务，Compound供给成果，还提供闪电贷的用户界面，使得普通用户也可以利用闪电贷计策。

零时科技区块链安详情报平台监控到动静，北京时间2021年2月28日早7时，Furucombo官方发推称Furucombo署理遭到进攻者进攻，1500万美元受到影响，并说明打消相关组件授权，受到进攻的合约地点

0x17e8Ca1b4798B97602895f63206afCd1Fc90Ca5，随后零时科技安详团队立即对该安详事件举办复盘阐明。

事件阐明

通过劈头阐明，可以获得进攻者的钱包地点为

0xb624E2b10b84a41687caeC94BDd484E48d76B212，今朝该地点已被etherscan标志为Furucombo Hacker。

该进攻者合约地点除了建设合约生意业务，其余只有一笔生意业务

0x6a14869266a1dcf3f51b102f44b7af7d0a56f1766e5b1908ac80a6a23dbaf449

查察该笔生意业务的状态会发明，存储地点

0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc

今朝写入的内容为进攻者合约地点

0x86765dde9304bEa32f65330d266155c4fA0C4F04。

为什么会呈现这种环境，继承按照Furucombo: Proxy v1.0.0合约

0x17e8ca1b4798b97602895f63206afcd1fc90ca5f，阐明其对应的署理Aave V2合约

0x7d2768dE32b0b80b7a3454c06BdAc94A69DDc7A9。

Aave V2 Proxy 合约中，

0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc

值对应IMPLEMENTATION_SLOT变量，最终利用该变量的函数为_implementation()，详细代码如下图所示。

继承阐明Aave V2 Proxy 合约，

在initialize()函数中，均对IMPLEMENTATION_SLOT变量和implementation()函数举办了判定，函数第一行代码判定implementation()函数值是否为0，第二行代码中，也是判定IMPLEMENTATION_SLOT值是否相等，假如前两行代码判定乐成，就会将initialize()函数传进来的地点_logic配置为Implementation，当Implementation配置乐成后，其他挪用者也就无法乐成挪用initialize()函数（initialize()函数条件的前两行再也无法满意），，所以通过initialize()函数配置的Implementation为永久。

通过以上阐明，进攻者合约的第二笔生意业务状态就可以表明白。

由于urucombo官方未对Aave V2 Proxy 合约中的

0x360894a13ba1a3210667c828492db98dca3e2076cc3735a920a3ca505d382bbc 这个位置举办初始化赋值，所以导致进攻者利用本身的地点举办了初始化，最终进攻者偷取了Furucombo合约有授权的代币代价约1500万美元。

发起用户尽快自行查抄钱包授权，相关东西：https://cn.etherscan.com/tokenapprovalchecker

未参加的项目实时删除授权。

安详发起

DeFi本年确实备受存眷，黑客进攻也不绝产生，包罗Harvest Finance，Value DeFi，Akropolis，Cheese Bank和Origin Dollar等均受到差异水平的黑客进攻。针对几回产生的黑客进攻事件，我们给出以下的安详发起：

在项目上线之前，找专业的第三方安详企业举办全面的安详审计，并且可以找多家举办交错审计；

可以宣布裂痕赏金打算，发送社区白帽子辅佐找问题，先于黑客找到裂痕；

增强对项目标安详监测和预警，只管做到在黑客动员进攻之前宣布预警从而掩护项目安详。

郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。