Ang Ola Finance ay pinagsamantalahan ng $3.6M sa Re-Entrancy Attack

Ibinunyag ng Ola Finance noong Huwebes na dumanas ito ng pagsasamantala na nagbigay-daan sa isang umaatake na makuha ang $3.6 milyon na halaga ng Crypto. Ang pag-atake ay naka-target sa Fuse Lending, na nagtangkang gamitin ang protocol ng lending-as-a-service ng Ola na may mga hindi tugmang pamantayan ng token.

Ayon sa PeckShield, isang blockchain security firm na nakipagtulungan kay Ola upang masuri ang pagsasamantala, sinamantala ng attacker ang isang tinatawag na “re-entrancy” bug sa ONE sa mga smart contract ni Ola.

Ang pag-atake ay dumating pagkatapos ng Disclosure ngayong linggo ng a $625 milyon na pagsasamantala ng Ronin network ng Axie Infinity – ONE sa pinakamalaki sa desentralisadong Finance (DeFi) kasaysayan. Bagama't mas maliit kung ihahambing, ang pag-atake sa Ola ay isang paalala kung paano patuloy na tumataas ang multimillion-dollar na pagnanakaw - karaniwan na ngayon sa DeFi - habang dumadaloy ang malaking pera sa mga hindi gaanong kilalang ecosystem.

Ang DeFi protocol ng Ola ay tumatakbo sa ilang mga blockchain, at ang pag-atake noong Huwebes ay naka-target sa pag-deploy nito sa network ng fuse – isang Ethereum Virtual Machine-katugmang blockchain na may $12.8 milyon lamang sa kabuuang halaga na naka-lock (TVL) bago ang pag-atake, ayon sa data na pinagsama-sama ng DefiLlama.

Nagsimula ang umaatake sa pamamagitan ng pag-withdraw ng mga pondo gamit Buhawi Cash, na nagbibigay-daan sa mga user na maglipat ng Crypto nang hindi nag-iiwan ng bakas. Matapos ilipat ang mga pondo sa Fuse network, ginamit ng borrower ang mga ito bilang collateral para makapag-loan sa desentralisadong lending platform ni Ola. Sinasamantala ang re-entrancy bug, naalis ng umaatake ang collateral nang hindi muna binabayaran ang utang.

Inulit ng hacker ang prosesong ito nang maraming beses sa iba't ibang Ola pool. Pagkatapos ay inilipat nila ang mga naubos na pondo sa mga wallet Ethereum at Kadena ng BNB.

Na-pause ng Ola ang paggamit ng lending protocol nito sa Fuse network at nagtweet na malapit na itong mag-publish ng "opisyal na ulat na nagdedetalye ng pagsasamantala." Sinasabi ng proyekto na ang mga serbisyo nito sa iba pang mga blockchain ay hindi naapektuhan ng pagsasamantala at mananatiling operational.

Hindi ito ang una, o ang pinakamalaking re-entrancy attack sa kamakailang memorya.

Mahigit dalawang linggo bago ang pag-atake ni Ola, dalawang protocol ng pagpapautang sa Gnosis blockchain ay dumanas ng mga katulad na pagsasamantala. Ang DAO pag-atake noong 2016, isang nakakahiyang pagsasamantala na humantong sa isang Ethereum matigas na tinidor, ay isa ring bersyon ng pag-atake sa muling pagpasok.

I-UPDATE (Abril 2, 0:41 UTC): Nagdaragdag ng impormasyon upang linawin ang kaugnayan sa pagitan ng Fuse Lending at Ola Finance.