Ola Финансы была взломана на сумму 3,6 млн долларов в результате атаки с повторным входом

Ola Финансы в четверг сообщила, что подверглась эксплойту, который позволил злоумышленнику украсть Криптo на сумму $3,6 млн. Целью атаки был Fuse Lending, который пытался использовать протокол кредитования как услуги Ola с несовместимыми стандартами токенов.

В соответствии с PeckShield, компании по безопасности блокчейна, которая работала с Ola над диагностикой уязвимости, злоумышленник воспользовался так называемой ошибкой «повторного входа» в ONE из смарт-контрактов Ola.

Атака произошла после того, как на этой неделе Раскрытие информации Эксплуатация на сумму 625 миллионов долларов сети Ronin компании Axie Infinity – ONE из крупнейших в сфере децентрализованных Финансы (ДеФи) история. Хотя по сравнению с этим атака Ola гораздо менее масштабна, она служит напоминанием о том, как многомиллионные кражи — теперь обычное дело в DeFi — продолжают накапливаться по мере того, как большие деньги перетекают в менее известные экосистемы.

Протокол DeFi компании Ola работает на нескольких блокчейнах, и атака в четверг была нацелена на его развертывание наПредохранительная сеть–Виртуальная машина Ethereum-совместимый блокчейн с общей заблокированной стоимостью всего в 12,8 млн долларов (ТВЛ) до нападения, согласноданные собраны DefiLlama.

Злоумышленник начал с вывода средств с помощьюТорнадо Кэш, что позволяет пользователям переводить Криптo , не оставляя следов. После перевода средств в сеть Fuse заемщик использовал их в качестве залога для получения кредитов на децентрализованной кредитной платформе Ola. Воспользовавшись ошибкой повторного входа, злоумышленник смог снять залог без предварительного погашения кредита.

Хакер повторил этот процесс несколько раз на разных пулах Ola. Затем они перевели слитые средства на кошельки наEthereum и Сеть BNB.

Ola приостановила использование своего кредитного протокола в сети Fuse итвитнулчто вскоре он опубликует «официальный отчет с подробным описанием эксплойта». Проект утверждает, что его сервисы на других блокчейнах не были затронуты эксплойтом и продолжат работать.

Это не первая и не самая масштабная атака с повторным входом за последнее время.

Чуть больше, чем за две недели до нападения на Олу,два протокола кредитования на блокчейне Gnosis были обнаружены похожие уязвимости. ДАО атака в 2016 году, печально известная эксплойт, которая привела к краху Ethereum хард-форк, также был вариантом атаки с повторным входом.

ОБНОВЛЕНИЕ (2 апреля, 0:41 UTC): Добавляет информацию для прояснения взаимоотношений между Fuse Lending и Ola Финансы.