Ola Finanças diz que invasores roubaram US$ 4,7 milhões em exploração de "reentrada"

A rede de empréstimos Voltage Finanças, alimentada pela Ola Finanças, foi explorada em mais de US$ 4,67 milhões em um ataque de “reentrada” na quinta-feira, de acordo com um relatório post-mortemlançado pelos desenvolvedores.

• Ola pode ser usado para construir e implantarFinanças descentralizadas(DeFi) plataformas de empréstimo em vários blockchains, e o ataque de quinta-feira teve como alvo sua implantação noRede de fusíveis. DeFi refere-se ao uso decontratos inteligentesem vez de terceiros para serviços financeiros como empréstimos e financiamentos.
• Ola permite que projetos criem e possuam suas próprias redes de empréstimo sem permissão, enquanto Voltage é a interface de usuário que fornece acesso ao Fuse.

• A rede Fuse foi explorada por 216.964,18 USDC, 507.216,68 BUSD, 200.000,00 fUSD, 550,45 ether encapsulado, 26,25 Wrapped Bitcoin e 1.240.000,00 FUSE. Tudo isso vale mais de US$ 4,67 milhões a preços atuais.
• O ataque ocorreu por meio de uma vulnerabilidade de reentrada no padrão de token ERC677. A reentrada é um bug comum que permite que invasores enganem um contrato inteligente fazendo chamadas repetidas para um protocolo para roubar ativos. Uma chamada é uma autorização para o endereço do contrato inteligente interagir com o endereço da carteira de um usuário.
• Na primeira transação de assalto, o invasor pegou um empréstimo flash de 515 WETH do par WETH-WBTC emVoltage Finançaspara financiar o ataque. Em transações posteriores, o invasor evitou um empréstimo rápido usando os fundos que já haviam sido roubados, confirmou o relatório post-mortem. Voltage é um protocolo de negociação descentralizado que permite a negociação automatizada de tokens DeFi na rede Fuse.
• Os invasores conseguiram enganar os contratos inteligentes da Voltage transferindoenvoltoativos – gerados usando empréstimos rápidos, uma forma de empréstimo sem garantia – e chamando o contrato inteligente para transferir fundos da Voltage para os endereços do hacker.
• Ola Finanças disse que o ataque T pôde ser replicado em outras redes de empréstimo que ele suporta. “Investigaremos a lógica de 'transferência' de cada token para garantir que nenhum padrão de token problemático esteja em uso”, disseram os desenvolvedores.
• Enquanto isso, a Voltage disse que estava conversando com terceiros para rastrear o invasor e criar um plano para compensar os usuários afetados.

ATUALIZAÇÃO (4 de abril, 06:30 UTC): Adiciona mais detalhes sobre Ola Finanças e Voltage Finanças no início e no segundo marcador.