Ola Finanza afferma che gli aggressori hanno rubato 4,7 milioni di dollari in un exploit di "rientrata"

La rete di prestito Voltage Finanza, alimentata da Ola Finanza, è stata sfruttata per oltre 4,67 milioni di dollari in un attacco di "rientranza" giovedì, secondo un rapporto post-mortemrilasciato dagli sviluppatori.

• Ola può essere utilizzato per costruire e distribuireFinanza decentralizzata(DeFi) piattaforme di prestito su diverse blockchain e l'attacco di giovedì ha preso di mira la sua distribuzione suRete di fusibili. DeFi si riferisce all'uso dicontratti intelligentiinvece di terze parti per servizi finanziari quali prestiti e mutui.
• Ola consente ai progetti di creare e possedere le proprie reti di prestito senza autorizzazione, mentre Voltage è l'interfaccia utente che fornisce l'accesso a Fuse.

• La rete Fuse è stata sfruttata per 216.964,18 USDC, 507.216,68 BUSD, 200.000,00 fUSD, 550,45 ether wrappati, 26,25 Wrapped Bitcoin e 1.240.000,00 FUSE. Tutto ciò vale oltre 4,67 milioni di $ ai prezzi correnti.
• L'attacco è avvenuto tramite una vulnerabilità di re-entrancy nello standard token ERC677. La reentrancy è un bug comune che consente agli aggressori di ingannare uno smart contract effettuando ripetute chiamate a un protocollo per rubare asset. Una chiamata è un'autorizzazione per l'indirizzo dello smart contract a interagire con l'indirizzo del wallet di un utente.
• Nella prima transazione di furto, l'aggressore ha preso un prestito flash di 515 WETH dalla coppia WETH-WBTC suFinanza di tensioneper finanziare l'attacco. Nelle transazioni successive, l'attaccante ha evitato un prestito flash utilizzando i fondi che erano già stati rubati, ha confermato il rapporto post-mortem. Voltage è un protocollo di trading decentralizzato che consente il trading automatizzato di token DeFi sulla rete Fuse.
• Gli aggressori sono riusciti a ingannare gli smart contract di Voltage trasferendoavvoltoasset – generati utilizzando prestiti flash, una forma di prestito non garantito – e chiamando lo smart contract per trasferire fondi da Voltage agli indirizzi dell’hacker.
• Ola Finanza ha affermato che l'attacco T poteva essere replicato su altre reti di prestito supportate. "Esamineremo la logica di 'trasferimento' di ogni token per assicurarci che non siano in uso standard di token problematici", hanno affermato gli sviluppatori.
• Nel frattempo, Voltage ha affermato di essere in contatto con soggetti esterni per rintracciare l'aggressore e creare un piano per risarcire gli utenti interessati.

AGGIORNAMENTO (4 aprile, 06:30 UTC): Aggiunge ulteriori dettagli riguardanti Ola Finanza e Voltage Finanza nel punto iniziale e nel secondo punto.