Ola Finanza sfruttata per 3,6 milioni di dollari in un attacco di rientro

Ola Finanza ha rivelato giovedì di aver subito un exploit che ha consentito a un aggressore di impossessarsi di 3,6 milioni di dollari in Cripto. L'attacco ha preso di mira Fuse Lending, che ha tentato di utilizzare il protocollo di prestito come servizio di Ola con standard di token incompatibili.

SecondoScudo di Peck, un'azienda di sicurezza blockchain che ha collaborato con Ola per diagnosticare l'exploit, l'aggressore ha sfruttato un cosiddetto bug di "rientranza" in ONE degli smart contract di Ola.

L'attacco avviene dopo la Dichiarazione informativa di questa settimana di un Sfruttamento da 625 milioni di dollari della rete Ronin di Axie Infinity, ONE delle più grandi nella Finanza decentralizzata (DeFi) storia. Sebbene molto più piccolo in confronto, l'attacco Ola è un promemoria di come i furti multimilionari, ormai all'ordine del giorno nella DeFi, continuino ad accumularsi mentre grandi quantità di denaro confluiscono in ecosistemi meno noti.

Il protocollo DeFi di Ola opera su diverse blockchain e l’attacco di giovedì ha preso di mira la sua distribuzione suRete di fusibili - UN Macchina virtuale Ethereum-blockchain compatibile con un valore totale bloccato di soli 12,8 milioni di dollari (TVL) prima dell'attacco, secondodati raccolti da DefiLlama.

L'attaccante ha iniziato prelevando fondi utilizzandoTornado in contanti, che consente agli utenti di trasferire Cripto senza lasciare traccia. Dopo aver trasferito i fondi alla rete Fuse, il mutuatario li ha utilizzati come garanzia per ottenere prestiti sulla piattaforma di prestito decentralizzata di Ola. Sfruttando il bug di re-entrancy, l'attaccante è stato quindi in grado di rimuovere la garanzia senza prima rimborsare il prestito.

L'hacker ha ripetuto questo processo più volte in diversi pool Ola. Hanno poi trasferito i fondi prosciugati ai wallet suEthereum E BNB.

Ola ha sospeso l'utilizzo del suo protocollo di prestito sulla rete Fuse etwittatoche pubblicherà presto un "rapporto ufficiale che descrive in dettaglio l'exploit". Il progetto afferma che i suoi servizi su altre blockchain non sono stati influenzati dall'exploit e rimarranno operativi.

Questo non è il primo né il più grande attacco di rientro nella storia recente.

Poco più di due settimane prima dell'attacco di Ola,due protocolli di prestito sulla blockchain Gnosis hanno subito exploit simili. Il DAO attacco nel 2016, un famigerato exploit che ha portato a un Ethereum forchetta dura, era anche una versione di un attacco di rientro.

AGGIORNAMENTO (2 aprile, 0:41 UTC): Aggiunge informazioni per chiarire la relazione tra Fuse Lending e Ola Finanza.