Ola Finance cho biết hackers đã đánh cắp 4.7 triệu USD bằng cách khai thác lỗ hổng Re-Entrancy

Một cuộc điều tra công bố hôm thứ Sáu cho thấy số tiền đã bị mất trong một cuộc tấn công "re-entrancy" là hơn 4.67 triệu USD.

Giao thức cho vay phi tập trung Ola Finance đã bị khai thác với số tiền thất thoát hơn 4.67 triệu USD bằng lỗ hổng “re-entrancy” vào thứ Năm, theo một báo cáo được công bố sau khi được điều tra bởi các nhà phát triển.

Ola vận hành một giao thức tài chính phi tập trung (DeFi) trên một số blockchain và cuộc tấn công hôm thứ Năm đã nhắm mục tiêu vào mạng Fuse. DeFi đề cập đến việc sử dụng các smart contracts thay vì bên thứ ba về các dịch vụ tài chính như cho vay và đi vay.

1/2 Standing together, @ola_finance and @voltfinance remain united in our efforts to compensate users suffering from the latest exploit.
All projects accept responsibility and ask our communities to focus on the next steps of growth, rather than assigning blame.
— Ola.finance (@ola_finance) March 31, 2022

Các dịch vụ của Ola trên mạng lưới của Fuse đã bị khai thác 216,964.18 USDC, 507,216.68 BUSD, 200,000.00 fUSD, 550.45 wrapped ether , 26.25 wrapped bitcoin và 1,240,000 FUSE. Tổng trị giá hơn 4.67 triệu USD tính theo thời điểm viết bài.
Cuộc tấn công xảy ra thông qua một lỗ hổng re-entrancy trong tiêu chuẩn TOKEN ERC677. Re-entrancy là một lỗi phổ biến cho phép kẻ tấn công lừa smart contracts bằng cách thực hiện các lệnh call đến một giao thức để đánh cắp tài sản. Một lệnh call là sự ủy quyền để smart contracts tương tác với địa chỉ ví của người dùng.
Trong giao dịch trộm cắp đầu tiên, kẻ tấn công đã vay nhanh 515 WETH từ cặp WETH-WBTC trên Voltage Finance để lấy quỹ cho cuộc tấn công. Trong các giao dịch sau đó, kẻ tấn công đã tránh được một flash loan bằng cách sử dụng số tiền đã bị đánh cắp, báo cáo sau điều tra xác nhận. Voltage là một giao thức giao dịch phi tập trung cho phép giao dịch các token DeFi trên mạng Fuse một cách tự động.
Những kẻ tấn công đã có thể lừa các hợp đồng thông minh của Voltage bằng cách chuyển các tài sản wrapped – tạo ra bằng cách sử dụng các khoản vay nhanh, một hình thức cho vay không tập trung – và gọi smart contarcts chuyển tiền từ Voltage đến địa chỉ của tin tặc.
Ola Finance cho biết cuộc tấn công không thể được nhân rộng trên các mạng cho vay khác mà nó hỗ trợ. “Chúng tôi sẽ điều tra logic “giao dịch” của từng token để đảm bảo không có tiêu chuẩn token có vấn đề nào được sử dụng”, các nhà phát triển cho biết.
Trong khi đó, Voltage cho biết họ đang đàm phán với các bên thứ 3 để truy tìm hacker, và lên kế hoạch bồi thường cho những người dùng bị ảnh hưởng.

Nguồn: Coindesk.com