DeFi platform Furucombo gehackt, miljoenen dollars aan onder andere bitcoin (BTC) gestolen

Foto: BestForBest/Shutterstock

De decentralized finance, of DeFi-, markt, zag gisteren weer een aanval. Maar liefst $15 miljoen aan cryptocurrencies werden gestolen uit Furucombo:

UPDATE:

The Furucombo proxy was compromised and US$15m was affected. The Furucombo platform and user funds are now safe. We are working on a mitigation plan that we will share with the community as soon as possible.

— FURUCOMBO (@furucombo) February 27, 2021

Furocombo is een nieuwe ‘drag and drop tool’ die DeFi-transacties optimaliseert en vereenvoudigd door combinaties, of combo’s, te maken met behulp van zogeheten ‘kubussen.’
Onderzoeker Igor Igamberdiev meldt dat de aanvaller een nepcontract had aangemaakt die Furucombo liet denken dat het om een nieuwe versie van Aave ging. Hierdoor kreeg de aanvaller toegang tot de fondsen van het protocol.
Volgens Igamberdiev werden meer dan $14 miljoen aan getokeniseerde ethereum (ETH), bitcoin (BTC), Chainlink (LINK) en ERC-20 tokens van het platform gestolen:

What was stolen ($14M+):

– 3,9k stETH
– 2.4M USDC
– 649k USDT
– 257k DAI
– 26 aWBTC
– 270 aWETH
– 296 aETH
– 2.3k aAAVE
– 4 WBTC
– 90k CRV
– 43k LINK
– 7.3k cETH
– 17.2M cUSDC
– 69 cWBTC
– 142.2M BAO
– 38.6k PERP
– 30.4k COMBO
– 75k PAID
– 225k UNIDX
– 342 GRO
– 19k NDX

— Igor Igamberdiev (@FrankResearcher) February 27, 2021

De gestolen crypto werden vervolgens naar Tornado Cash gestuurd, een ‘crypto mixer,’ om sporen te wissen. Dit soort aanvallen, met behulp van zogenaamde ‘evil contracten,’ worden steeds populairder in de DeFi-markt. Vorig jaar zag Pickle Finance ook een dergelijke aanval. Naar verluidt is al meer dan $70 miljoen aan crypto op deze manier gestolen van gebruikers in de afgelopen maanden.
Furocombo meldt dat het probleem inmiddels verholpen is en dat het team aan een compensatieplan werkt. De DeFi-markt zag dit jaar weer een enorme toename, volgens DeFi Pulse werd op 22 februari een piek bereikt van $45 miljard aan crypto dat vastzit in DeFi-contracten, oftewel total value locked (TVL). Dit cijfer is inmiddels gezakt naar $35 miljard, voornamelijk vanwege de dalende koersen afgelopen week.

Kevin Schijven is sinds mei 2018 werkzaam bij Crypto Insiders en vervult daar de rol van (eind)redacteur. Met een achtergrond in ICT en bedrijfskunde, gevolgd door rechten en criminologie aan de Vrije Universiteit, brengt hij een unieke mix van vaardigheden mee. Zijn interesse in cryptocurrency ontstond door de potentie om een bedrijf op te bouwen rond nieuwe technologie. Kevin heeft inmiddels duizenden artikelen geschreven en is gespecialiseerd in het laatste crypto nieuws.