Сервис Furucombo, позволяющий группировать транзакции и взаимодействия в пространстве децентрализованных финансов, подвергся хакерской атаке в субботу вечером.
Как сообщают разработчики проекта, добычей злоумышленника стали около $15 млн в эфире и ERC20-токенах. В атаке был задействован поддельный смарт-контракт, воспринятый Furucombo как новая имплементация DeFi-протокола Aave v2 и использовавшийся для вывода доступных активов.
«Сегодня в 4:47 PM UTC (19:47 по Москве) прокси Furucombo был скомпрометирован. Мы провели деавторизацию соответствующих компонентов», – написали разработчики в Twitter, одновременно попросив пользователей вывести одобренные токены и отозвать разрешения.
Впоследствии они подтвердили обнаружение корневой причины произошедшего и устранение уязвимости. «Платформа Furucombo и пользовательские средства теперь в безопасности. Мы работаем над планом ликвидации последствий атаки и раскроем его сообществу в кратчайшие сроки», – добавляют они.
Похожим атакам ранее подвергались DeFi-проекты Pickle Finance и Alpha Finance, когда злоумышленникам удавалось подменять оригинальные контракты своими собственными. В общей сложности таким образом за несколько месяцев было украдено свыше $70 млн. В случае Furucombo, однако, средства выводились не из контракта, а из кошельков пользователей, предоставивших платформе разрешение взаимодействовать с их токенами.
