Title: Взломали Furucombo Post by: soliton on February 28, 2021, 01:49:28 PM Вот тебе и DeFi. Собственно по сабжу. Злоумышленник скомпрометировал прокси-сервер этого Лего конструктора и увел эфира и токенов на сумму в 14 миллионов зеленых рублей. Их твитер пишет что на 15, форклог на 14. Пользователям порекомендовали из соображения безопасности поудалять одобрение токенов.
https://forklog.com/defi-proekt-furucombo-vzlomali-na-14-mln/ https://twitter.com/furucombo/status/1365805935109677056 Title: Re: Взломали Furucombo Post by: my luck on March 01, 2021, 10:30:28 AM Вот тебе и DeFi. Собственно по сабжу. Злоумышленник скомпрометировал прокси-сервер этого Лего конструктора и увел эфира и токенов на сумму в 14 миллионов зеленых рублей. Их твитер пишет что на 15, форклог на 14. Пользователям порекомендовали из соображения безопасности поудалять одобрение токенов. Скорее бы их всех повзламывали, чтобы народ с DeFi слез а то загозавали эфир по самое немогу. Уже несколько месяцев эфирки лежат и никаких транзакций не делаю. Другая сторона медали - завтра хардфорк Кардано будет и там появятся смартконтракты. Там уже такой херни не будет. Поэтому на эфирке нужно побольше взломов, хороших и разных .https://forklog.com/defi-proekt-furucombo-vzlomali-na-14-mln/ https://twitter.com/furucombo/status/1365805935109677056 Ознакомился с тем, что пишет форклог. Походу они перепутали "божий дар с яичницей". Был "модифицирован" код смарт контракта Furucombo, а не хакнуто железо в виде прокси, если я все правильно понял. У форклога прокси_сервер=смарт_контракт. Точка! :)Title: Re: Взломали Furucombo Post by: bomj on March 02, 2021, 08:57:56 PM Ознакомился с тем, что пишет форклог. Походу они перепутали "божий дар с яичницей". Был "модифицирован" код смарт контракта Furucombo, а не хакнуто железо в виде прокси, если я все правильно понял. У форклога прокси_сервер=смарт_контракт. Точка! :)Ага, только вот форклог все правильно написал - атака была направлена на proxy smart contract Furucombo. Подобные смарт контракты часто и называю своего рода прокси сервером. Попробую грубо пояснить, что это такое: Т.к. смарт контракты неизменны, иногда в них находят ошибки и уязвимости. И для того, чтобы исправить ошибку, пишется proxy контракт, в который достаточно внести адрес нового-обновленного контракта. Proxy контракты применяют не только для этого. Подробнее: https://docs.openzeppelin.com/upgrades-plugins/1.x/proxies https://blog.openzeppelin.com/proxy-patterns/ Но данная атака не имела бы смысла, если бы пользователи не допускали стандартную, частую ошибку: А именно - не одобряли бы контракт(функция approve, часто пишется - разблокировать токен) на максимальную величину. Хакер проанализировал адреса пользователей и снял токены, которые они одобрили контракту и снял их непосредственно с кошельков жертв. Да, конечно не экономно одобрять контракт на конкретную сумму, т.к. в следующий раз вновь придется платить копейку. Но это уже наши трудности, сам грешен. Есть хороший ресурс, позволяющий взглянуть на то, кому и сколько мы наодобряли: https://revoke.cash/ Кстати там же вы сможете сделать отмену своих разрешений. Title: Re: Взломали Furucombo Post by: my luck on March 03, 2021, 08:31:46 AM Ознакомился с тем, что пишет форклог. Походу они перепутали "божий дар с яичницей". Был "модифицирован" код смарт контракта Furucombo, а не хакнуто железо в виде прокси, если я все правильно понял. У форклога прокси_сервер=смарт_контракт. Точка! :)Ага, только вот форклог все правильно написал - атака была направлена на proxy smart contract Furucombo. Подобные смарт контракты часто и называю своего рода прокси сервером. Попробую грубо пояснить, что это такое: Т.к. смарт контракты неизменны, иногда в них находят ошибки и уязвимости. И для того, чтобы исправить ошибку, пишется proxy контракт, в который достаточно внести адрес нового-обновленного контракта. Proxy контракты применяют не только для этого. Подробнее: https://docs.openzeppelin.com/upgrades-plugins/1.x/proxies https://blog.openzeppelin.com/proxy-patterns/ Но данная атака не имела бы смысла, если бы пользователи не допускали стандартную, частую ошибку: А именно - не одобряли бы контракт(функция approve, часто пишется - разблокировать токен) на максимальную величину. Хакер проанализировал адреса пользователей и снял токены, которые они одобрили контракту и снял их непосредственно с кошельков жертв. Да, конечно не экономно одобрять контракт на конкретную сумму, т.к. в следующий раз вновь придется платить копейку. Но это уже наши трудности, сам грешен. Есть хороший ресурс, позволяющий взглянуть на то, кому и сколько мы наодобряли: https://revoke.cash/ Кстати там же вы сможете сделать отмену своих разрешений. Кстати оба источника, на которые вы ссылаетесь, ни разу не упомянули словосочетание proxy server. Ок, не столь суть важная деталь, главное понятна суть. Спасибо за ресурс revoke.cash, однозначно полезная вещь! Title: Re: Взломали Furucombo Post by: bomj on March 05, 2021, 09:22:42 AM Имхо, контракт - это контракт, сервер - это сервер (в 99% случаях понимания сути вещей), тем более форклог пишет для среднестатистического пользователя. Принято.По revoke пока не разобрался, как отменить unlimited разрешения. Title: Re: Взломали Furucombo Post by: diks on March 05, 2021, 09:35:10 AM Имхо, контракт - это контракт, сервер - это сервер (в 99% случаях понимания сути вещей), тем более форклог пишет для среднестатистического пользователя. Принято.По revoke пока не разобрался, как отменить unlimited разрешения. еще вариант https://tac.dappstar.io/#/address/ Title: Re: Взломали Furucombo Post by: milani on March 11, 2021, 02:49:52 PM Вот тебе и DeFi. Собственно по сабжу. Злоумышленник скомпрометировал прокси-сервер этого Лего конструктора и увел эфира и токенов на сумму в 14 миллионов зеленых рублей. Их твитер пишет что на 15, форклог на 14. Пользователям порекомендовали из соображения безопасности поудалять одобрение токенов. https://forklog.com/defi-proekt-furucombo-vzlomali-na-14-mln/ https://twitter.com/furucombo/status/1365805935109677056 Ну, не только с ДеФи проектами такое происходит. Это сплошь и рядом, даже самые проверенные и надёжные и биржи, и платформы попадали под такую волну. Застраховаться от таких моментов бывает очень непросто. Ребята что взламывают, довольно находчивые, как бы ни печально это звучало. А там где открывается хороший поток средств, там всегда они активизируются. |