Condividi questo articolo
Ola Finanza afferma che gli aggressori hanno rubato 4,7 milioni di dollari in un exploit di "rientrata"
Un'autopsia pubblicata venerdì descrive nei dettagli come è avvenuta la rapina su Voltage, un sito gestito da Ola Finanza.
La rete di prestito Voltage Finanza, alimentata da Ola Finanza, è stata sfruttata per oltre 4,67 milioni di dollari in un attacco di "rientranza" giovedì, secondo un rapporto post-mortemrilasciato dagli sviluppatori.
- Ola può essere utilizzato per costruire e distribuireFinanza decentralizzata(DeFi) piattaforme di prestito su diverse blockchain e l'attacco di giovedì ha preso di mira la sua distribuzione suRete di fusibili. DeFi si riferisce all'uso dicontratti intelligentiinvece di terze parti per servizi finanziari quali prestiti e mutui.
- Ola consente ai progetti di creare e possedere le proprie reti di prestito senza autorizzazione, mentre Voltage è l'interfaccia utente che fornisce l'accesso a Fuse.
1/2 Standing together, @ola_finance and @voltfinance remain united in our efforts to compensate users suffering from the latest exploit.
— Ola Finance (@ola_finance) March 31, 2022
All projects accept responsibility and ask our communities to focus on the next steps of growth, rather than assigning blame.
- La rete Fuse è stata sfruttata per 216.964,18 USDC, 507.216,68 BUSD, 200.000,00 fUSD, 550,45 ether wrappati, 26,25 Wrapped Bitcoin e 1.240.000,00 FUSE. Tutto ciò vale oltre 4,67 milioni di $ ai prezzi correnti.
- L'attacco è avvenuto tramite una vulnerabilità di re-entrancy nello standard token ERC677. La reentrancy è un bug comune che consente agli aggressori di ingannare uno smart contract effettuando ripetute chiamate a un protocollo per rubare asset. Una chiamata è un'autorizzazione per l'indirizzo dello smart contract a interagire con l'indirizzo del wallet di un utente.
- Nella prima transazione di furto, l'aggressore ha preso un prestito flash di 515 WETH dalla coppia WETH-WBTC suFinanza di tensioneper finanziare l'attacco. Nelle transazioni successive, l'attaccante ha evitato un prestito flash utilizzando i fondi che erano già stati rubati, ha confermato il rapporto post-mortem. Voltage è un protocollo di trading decentralizzato che consente il trading automatizzato di token DeFi sulla rete Fuse.
- Gli aggressori sono riusciti a ingannare gli smart contract di Voltage trasferendoavvoltoasset – generati utilizzando prestiti flash, una forma di prestito non garantito – e chiamando lo smart contract per trasferire fondi da Voltage agli indirizzi dell’hacker.
- Ola Finanza ha affermato che l'attacco T poteva essere replicato su altre reti di prestito supportate. "Esamineremo la logica di 'trasferimento' di ogni token per assicurarci che non siano in uso standard di token problematici", hanno affermato gli sviluppatori.
- Nel frattempo, Voltage ha affermato di essere in contatto con soggetti esterni per rintracciare l'aggressore e creare un piano per risarcire gli utenti interessati.
AGGIORNAMENTO (4 aprile, 06:30 UTC): Aggiunge ulteriori dettagli riguardanti Ola Finanza e Voltage Finanza nel punto iniziale e nel secondo punto.
Di più per voi
Ronghui Gu condivide consigli su come isolare gli agenti AI durante i test, in modo che non abbiano accesso a informazioni personali critiche o asset digitali.
Cosa sapere:
- La società di sicurezza CertiK avverte che il rapido dispiego di agenti AI autonomi, spesso non isolati e non verificati, sta creando un enorme e pericoloso "debito di sicurezza" attraverso reti e applicazioni.
- Concedendo agli agenti di intelligenza artificiale l'accesso a file locali, credenziali e strumenti finanziari, gli utenti stanno...
Storie Da Non Perdere
