Ola Фінанси стверджує, що зловмисники вкрали 4,7 мільйона доларів США за допомогою «повторного входу»

Кредитна мережа Voltage Фінанси, яка підтримується Ola Фінанси, була використана на суму понад 4,67 мільйона доларів США під час атаки «повторного входу» в четвер, згідно з посмертний висновок випущений розробниками.

• Ola можна використовувати для створення та розгортання децентралізовані Фінанси (DeFi) платформ кредитування в кількох блокчейнах, а атака в четвер була спрямована на його розгортання на Запобіжник мережі. DeFi стосується використання розумні контракти замість третіх сторін для фінансових послуг, таких як кредитування та запозичення.
• Ola дозволяє проектам створювати та володіти власними мережами кредитування без дозволу, тоді як Voltage є інтерфейсом користувача, який надає доступ до Fuse.

• Мережа Fuse була використана на суму 216 964,18 USDC, 507 216,68 BUSD, 200 000,00 fUSD, 550,45 обертаного ефіру, 26,25 Wrapped Bitcoin та 1 240 000,00 FUSE. Усе це коштує понад 4,67 мільйона доларів за поточними цінами.
• Атака сталася через уразливість повторного входу в стандарті токенів ERC677. Повторне входження — це поширена помилка, яка дозволяє зловмисникам обманювати смарт-контракт, роблячи повторні виклики протоколу з метою викрадення активів. Дзвінок — це авторизація для адреси смарт-контракту на взаємодію з адресою гаманця користувача.
• Під час першої транзакції пограбування зловмисник взяв флеш-кредит у розмірі 515 WETH від пари WETH-WBTC Фінанси напруги для фінансування атаки. У подальших транзакціях зловмисник уникав швидкої позики, використовуючи кошти, які вже були вкрадені, підтверджено в посмертному звіті. Voltage — це децентралізований торговий протокол, який дозволяє автоматизовано торгувати токенами DeFi у мережі Fuse.
• Зловмисники змогли обдурити смарт-контракти Voltage шляхом передачі загорнутий активи – генерація за допомогою швидких позик, форма кредитування без застави – і виклик смарт-контракту для переказу коштів від Voltage на адреси хакера.
• Ola Фінанси заявила, що атаку T можна відтворити в інших мережах кредитування, які вона підтримує. «Ми досліджуватимемо логіку «перенесення» кожного токена, щоб переконатися, що не використовуються проблемні стандарти токена», — сказали розробники.
• Тим часом Voltage заявила, що спілкується із зовнішніми сторонами, щоб відстежити зловмисника та створити план компенсації постраждалим користувачам.

ОНОВЛЕННЯ (4 квітня, 06:30 UTC): додає додаткові відомості про Ola Фінанси і Voltage Фінанси у першому та другому пунктах.