Sinabi ng Ola Finance na Ninakaw ng mga Attacker ang $4.7M sa 'Re-Entrancy' Exploit

Ang lending network na Voltage Finance, na pinalakas ng Ola Finance, ay pinagsamantalahan ng mahigit $4.67 milyon sa isang "re-entrancy" na pag-atake noong Huwebes, ayon sa isang ulat ng post-mortem inilabas ng mga developer.

• Maaaring gamitin ang Ola upang bumuo at mag-deploy desentralisadong Finance (DeFi) lending platforms sa ilang blockchain, at ang pag-atake noong Huwebes ay naka-target sa pag-deploy nito sa network ng fuse. Ang DeFi ay tumutukoy sa paggamit ng matalinong mga kontrata sa halip na mga ikatlong partido para sa mga serbisyong pinansyal tulad ng pagpapautang at paghiram.
• Pinahihintulutan ng Ola ang mga proyekto na lumikha at magmay-ari ng sarili nilang mga lending network sa paraang walang pahintulot, habang ang Voltage ay ang user interface na nagbibigay ng access sa Fuse.

• Ang Fuse network ay pinagsamantalahan para sa 216,964.18 USDC, 507,216.68 BUSD, 200,000.00 fUSD, 550.45 wrapped ether, 26.25 Wrapped Bitcoin, at 1,240,000.00 FUSE. Ang lahat ng iyon ay nagkakahalaga ng higit sa $4.67 milyon sa kasalukuyang mga presyo.
• Naganap ang pag-atake sa pamamagitan ng isang kahinaan sa muling pagpasok sa pamantayan ng token ng ERC677. Ang reentrancy ay isang pangkaraniwang bug na nagbibigay-daan sa mga umaatake na linlangin ang isang matalinong kontrata sa pamamagitan ng paulit-ulit na pagtawag sa isang protocol upang magnakaw ng mga asset. Ang tawag ay isang awtorisasyon para sa smart contract address na makipag-ugnayan sa wallet address ng user.
• Sa unang transaksyon ng heist, kumuha ang attacker ng 515 WETH flash loan mula sa pares ng WETH-WBTC noong Finance ng Boltahe para pondohan ang pag-atake. Sa mga susunod na transaksyon, iniwasan ng umaatake ang isang flash loan sa pamamagitan ng paggamit ng mga pondo na ninakaw na, kinumpirma ng post-mortem report. Ang Voltage ay isang desentralisadong trading protocol na nagbibigay-daan para sa automated na kalakalan ng mga DeFi token sa Fuse network.
• Nagawa ng mga attacker na linlangin ang mga matalinong kontrata ng Voltage sa pamamagitan ng paglilipat nakabalot mga asset – pagbuo gamit ang mga flash loans, isang anyo ng uncollateralized na pagpapautang – at pagtawag sa matalinong kontrata sa paglilipat ng mga pondo mula sa Voltage patungo sa mga address ng hacker.
• Sinabi ng Ola Finance na ang pag-atake ay T maaaring kopyahin sa iba pang mga lending network na sinusuportahan nito. "Sisiyasatin namin ang lohika ng 'paglipat' ng bawat token upang matiyak na walang problemang pamantayan ng token ang ginagamit," sabi ng mga developer.
• Samantala, sinabi ng Voltage na nakikipag-usap ito sa mga panlabas na partido para ma-trace ang umaatake at gumawa ng plano para mabayaran ang mga apektadong user.

I-UPDATE (Abril 4, 06:30 UTC): Nagdaragdag ng karagdagang mga detalye tungkol sa Ola Finance at Voltage Finance sa lead at pangalawang bala.