Ola Finance affirme que des attaquants ont volé 4,7 millions de dollars grâce à un exploit de « réentrée »

Le réseau de prêt Voltage Finance, propulsé par Ola Finance, a été exploité pour plus de 4,67 millions de dollars lors d'une attaque de « réentrée » jeudi, selon un rapport. rapport d'autopsiepublié par les développeurs.

• Ola peut être utilisé pour construire et déployerFinance décentralisée(DeFi) plateformes de prêt sur plusieurs blockchains, et l'attaque de jeudi a ciblé son déploiement sur leRéseau de fusibles. DeFi fait référence à l'utilisation decontrats intelligentsau lieu de tiers pour des services financiers tels que les prêts et les emprunts.
• Ola permet aux projets de créer et de posséder leurs propres réseaux de prêt sans autorisation, tandis que Voltage est l'interface utilisateur qui donne accès à Fuse.

• Le réseau Fuse a été exploité pour 216 964,18 USDC, 507 216,68 BUSD, 200 000 fUSD, 550,45 ethers wrappés, 26,25 Wrapped Bitcoin et 1 240 000 FUSE. Au prix actuel, ces transactions valent plus de 4,67 millions de dollars.
• L'attaque a été provoquée par une vulnérabilité de réentrance dans la norme de jeton ERC677. La réentrance est un bug courant qui permet aux attaquants de tromper un contrat intelligent en effectuant des appels répétés à un protocole afin de voler des actifs. Un appel autorise l'adresse du contrat intelligent à interagir avec l'adresse du portefeuille d'un utilisateur.
• Lors de la première transaction de braquage, l'attaquant a contracté un prêt flash de 515 WETH auprès de la paire WETH-WBTC surFinance de la tensionpour financer l'attaque. Lors de transactions ultérieures, l'attaquant a évité un prêt éclair en utilisant les fonds déjà volés, comme l'a confirmé le rapport d'autopsie. Voltage est un protocole de trading décentralisé qui permet l'échange automatisé de jetons DeFi sur le réseau Fuse.
• Les attaquants ont réussi à tromper les contrats intelligents de Voltage en transférantenveloppéactifs – générés à l’aide de prêts flash, une forme de prêt non garanti – et en appelant le contrat intelligent pour transférer des fonds de Voltage vers les adresses du pirate.
• Ola Finance a déclaré que l'attaque ne pouvait T être reproduite sur d'autres réseaux de prêt qu'elle soutient. « Nous examinerons la logique de "transfert" de chaque jeton afin de nous assurer qu'aucune norme de jeton problématique n'est utilisée », ont déclaré les développeurs.
• Entre-temps, Voltage a déclaré qu'il discutait avec des parties externes pour retrouver l'attaquant et créer un plan pour indemniser les utilisateurs concernés.

MISE À JOUR (4 avril, 06h30 UTC): Ajoute des détails supplémentaires concernant Ola Finance et Voltage Finance dans le premier et le deuxième point.