Ola Finanças explorada por US$ 3,6 milhões em ataque de reentrada

A Ola Finanças divulgou na quinta-feira que sofreu uma exploração que permitiu a um invasor obter US$ 3,6 milhões em Cripto. O ataque teve como alvo a Fuse Lending, que tentou usar o protocolo de empréstimo como serviço da Ola com padrões de token incompatíveis.

De acordo com a PeckShield , uma empresa de segurança blockchain que trabalhou com Ola para diagnosticar a exploração, o invasor aproveitou o chamado bug de “reentrada” em um dos contratos inteligentes de Ola.

O ataque ocorre após a Aviso Importante desta semana de uma exploração de US$ 625 milhões da rede Ronin da Axie Infinity – uma das maiores da história das Finanças descentralizadas ( DeFi ). Embora muito menor em comparação, o ataque de Ola serve como um lembrete de como os roubos multimilionários – agora comuns no DeFi – continuam a acumular-se à medida que muito dinheiro flui para ecossistemas menos conhecidos.

O protocolo DeFi de Ola opera em vários blockchains, e o ataque de quinta-feira teve como alvo sua implantação na rede Fuse – um blockchain compatível com a Máquina Virtual Ethereum com apenas US$ 12,8 milhões em valor total bloqueado ( TVL ) antes do ataque, de acordo com dados compilados pela DefiLlama .

O invasor começou sacando fundos usando o Tornado Cash , que permite aos usuários transferir Cripto sem deixar rastros. Após transferir os recursos para a rede Fuse, o mutuário os utilizou como garantia para contrair empréstimos na plataforma descentralizada de empréstimos da Ola. Aproveitando o bug de reentrada, o invasor conseguiu remover a garantia sem primeiro pagar o empréstimo.

O hacker repetiu esse processo várias vezes em diferentes pools do Ola. Eles então transferiram os fundos drenados para carteiras na rede Ethereum e BNB .

Ola interrompeu o uso de seu protocolo de empréstimo na rede Fuse e tuitou que em breve publicará um “relatório oficial detalhando a exploração”. O projeto afirma que seus serviços em outras blockchains não foram afetados pela exploração e permanecerão operacionais.

Este não é o primeiro nem o maior ataque de reentrada na memória recente.

Pouco mais de duas semanas antes do ataque Ola, dois protocolos de empréstimo na blockchain Gnosis sofreram explorações semelhantes. O ataque DAO em 2016, uma exploração infame que levou a um hard fork do Ethereum , também foi uma versão de um ataque de reentrada.

ATUALIZAÇÃO (2 de abril, 0h41 UTC): Adiciona informações para esclarecer a relação entre a Fuse Lending e a Ola Finanças.