FuruCombo (COMBO) – это интегрированный продукт DeFi на базе Ethereum, ориентированный на построение «комбо», Lego-подобных конструкций, которые позволяют пользователям использовать несколько инструментов для обеспечения ликвидности и децентрализованного обмена. Сегодня из него слили 14000000 долларов – и не только.
Поддельный AaveV2 украл ликвидность FuruCombo
Сегодня рано утром FuruCombo (COMBO) проинформировал своих пользователей о том, что одна из частей его экосистемы была скомпрометирована. Все затронутые элементы были немедленно деавторизованы, и FuruCombo посоветовал своим клиентам переместить свои токены.
Затем команда признала, что 15 миллионов долларов в различных активах недоступны, поэтому FuruCombo собирается обнародовать «план смягчения последствий». Согласно их комментариям в Twitter, некоторые пользователи потеряли сотни тысяч долларов .
Исследователь криптовалюты Игорь Игамбердиев, хорошо известный своими блестящими обзорами атак на DeFis, сообщил, что злоумышленник создал инструменты FuruCombo (COMBO), чтобы трактовать контракт имитатора как новую реализацию протокола AaveV2.
По словам г-на Игамбердиева, на момент атаки хакеры похитили средства на 21 актив на сумму более 14 миллионов долларов.
Остерегайтесь «социальной инженерии»
Две недели назад, 13 февраля 2021 года, проект IronBank CREAM DeFi потерял более 37 500 000 долларов из-за атаки с использованием флэш-кредита, затронувшей пять протоколов FuruCombo.
В то же время ArmorFi (ARMOR), многоцелевой протокол DeFi, сообщил об атаке необычного дизайна. Согласно официальному заявлению, хакеры использовали метод «социальной инженерии», чтобы украсть средства Armor.
Злоумышленник выдал себя за влиятельного внебиржевого инвестора FuruCombo в Discord. Он достиг двух членов команды ArmorFi, чтобы в спешке закрыть транзакции. Один из членов команды, не являющихся разработчиками, был выбран в качестве условного депонирования. Затем злоумышленники отправили поддельные доказательства завершенных транзакций, раскрывающие его халатность:
Он не следил за базовой OpSec для проверки транзакций.
В результате в карманы мошенников попало более 600 эфиров. Между тем, некоторые комментаторы Crypto Twitter подозревают, что это «дергание за коврик». Аналитик Таха Зафар заметил, что ArmorFi не готовил ICO или частную продажу, поэтому вся история с крупномасштабными внебиржевыми сделками кажется ему «забавной». FuruCombo