Ola Финансы сообщает, что злоумышленники украли 4,7 млн ​​долларов с помощью атаки «Повторный вход»

По данным источника, кредитная сеть Voltage Финансы, работающая на базе Ola Финансы, в четверг подверглась атаке «повторного входа» на сумму более 4,67 млн ​​долларов. отчет о вскрытиивыпущено разработчиками.

• Ola можно использовать для создания и развертываниядецентрализованные Финансы(DeFi) кредитные платформы на нескольких блокчейнах, и атака в четверг была нацелена на ее развертывание наПредохранительная сеть. DeFi относится к использованиюсмарт-контрактывместо третьих лиц для финансовых услуг, таких как кредитование и заимствование.
• Ola позволяет проектам создавать и владеть собственными сетями кредитования без необходимости получения разрешений, в то время как Voltage — это пользовательский интерфейс, который обеспечивает доступ к Fuse.

• Сеть Fuse была взломана на 216,964.18 USDC, 507,216.68 BUSD, 200,000.00 fUSD, 550.45 Wrapped Ether, 26.25 Wrapped Bitcoin и 1,240,000.00 FUSE. Все это стоит более $4.67 миллионов по текущим ценам.
• Атака произошла через уязвимость повторного входа в стандарте токена ERC677. Повторный вход — это распространенная ошибка, которая позволяет злоумышленникам обмануть смарт-контракт, совершая повторные вызовы протокола с целью кражи активов. Вызов — это авторизация для адреса смарт-контракта для взаимодействия с адресом кошелька пользователя.
• В первой транзакции по ограблению злоумышленник взял мгновенный кредит в размере 515 WETH из пары WETH-WBTC наНапряжение Финансыдля финансирования атаки. В последующих транзакциях злоумышленник избегал быстрого кредита, используя уже украденные средства, подтвердил отчет о вскрытии. Voltage — это децентрализованный торговый протокол, который позволяет автоматизировать торговлю токенами DeFi в сети Fuse.
• Злоумышленники смогли обмануть смарт-контракты Voltage, передавзавернутыйактивы — генерируются с использованием мгновенных кредитов, формы необеспеченного кредитования, — и вызывают смарт-контракт для перевода средств из Voltage на адреса хакера.
• Ola Финансы заявила, что атака T может быть воспроизведена в других кредитных сетях, которые она поддерживает. «Мы изучим логику «передачи» каждого токена, чтобы убедиться, что не используются проблемные стандарты токенов», — заявили разработчики.
• Тем временем компания Voltage заявила, что ведет переговоры с внешними сторонами, чтобы отследить злоумышленника и разработать план компенсации пострадавшим пользователям.

ОБНОВЛЕНИЕ (4 апреля, 06:30 UTC): Добавляет дополнительную информацию об Ola Финансы и Voltage Финансы в лидирующий и второй пункты.