Furucombo piraté, 14 millions de dollars en cryptomonnaies envolées
La semaine commence bien – Furucombo est un protocole permettant de grouper les interactions avec des protocoles DeFi au sein d’une unique transaction. Il a été la cible d’une attaque, entraînant la perte de 14 millions de dollars.
14 millions envolés
Samedi 27 février, le protocole Furucombo a informé ses utilisateurs via Twitter qu’il avait été la cible d’une attaque. Directement, les équipes de Furucombo ont pris différentes mesures pour résoudre le problème.
En pratique, l’attaquant a réussi à siphonner 14 millions de dollars sur les wallets d’utilisateurs ayant interagi précédemment avec le protocole.
Cependant, il reste pour le moment difficile d’évaluer le montant exact du préjudice. En effet, l’attaquant s’est empressé de blanchir les fonds en les mixant grâce à Tornado Cash.
Attaque par « contrat malveillant »
En pratique, cette attaque fut menée grâce à un « contrat malveillant« , comme l’a souligné @FrankResearcher, analyste pour TheBlock.
Pour ce faire, l’attaquant a créé et déployé un faux smart contract faisant croire à Furucombo qu’il s’agissait d’une nouvelle implémentation de Aave v2.
Contrairement à la plupart des attaques visant les pools des protocoles, celle-ci a directement impacté les utilisateurs du protocole.
En effet, l’attaquant a utilisé ce smart contract pour transferer l’ensemble des jetons ayant été approuvés par des utilisateurs vers sa propre adresse.
Suite à l’attaque, Furucombo a empressé ses utilisateurs de révoquer les autorisations de dépenses émises sur le protocole. Pour ce faire, les utilisateurs peuvent avoir recours à l’outil Revoke.cash.
Le problème des « autorisations infinies »
Cette attaque remet sur le devant de la scène un débat qui a d’ores et déjà agité la sphère DeFi à de nombreuses reprises.
En effet, lorsqu’un utilisateur interagit avec une application décentralisée, celui-ci doit autoriser l’application pour dépenser ses fonds. Cependant, de nombreuses applications proposent deux types d’autorisations :
- autorisation fixe : qui permet d’autoriser le protocole à dépenser un montant défini de jetons ;
- autorisation illimitée : qui permet d’autoriser le protocole à dépenser un montant infini de jetons.
C’est cette seconde autorisation qui fait débat. En effet, dans le cadre de Furucombo, c’est justement le recours à ce type d’autorisations qui a permis à l’attaquant d’accéder aux fonds des utilisateurs.
De leur côté, les équipes de Furucombo sont actuellement en train de réfléchir à une méthode pour dédommager les utilisateurs lésés. Ces derniers ont notamment abordé l’idée d’un plan de migration dont les détails seront dévoilés dans les jours à venir.