Судя по всему, атака была аналогична взлому проекта Pickle Finance, произошедшему в ноябре 2020 года. Злоумышленники «обманули» протокол Furucombo – они представили свой смарт-контракт как новую версию проекта Aave. Затем хакеры начали опустошать кошельки пользователей, которые ранее взаимодействовали с Furucombo, и предоставили протоколу права на осуществление транзакций.
«Повышенные привилегии означают, что вы можете забрать средства любого человека, работавшего с Furucombo», – отметил белый хакер и сооснователь DeFi Italy Эмилиано Бонасси (Emiliano Bonassi).
На странице Furucombo в социальной сети Twitter появилось официальное подтверждение взлома. Разработчики сообщили, что отозвали авторизацию у связанных с атакой компонентов – это должно остановить хакеров. Однако для большей безопасности они призывают пользователей отозвать разрешения для смарт-контракта Furucombo.
Недавнее исследование компании Crystal Blockchain показало, что киберпреступники теперь намного быстрее скрывают похищенные криптоактивы. Если в 2015 году украденные деньги могли оставаться без движения до 365 дней, то в 2020 году среднее время вывода 80% незаконно полученных криптоактивов составило около 28 дней. За пять лет преступники научились выводить деньги в 13 раз быстрее.