Compartilhe este artigo
Ola Finanças explorado por US$ 3,6 milhões em ataque de reentrada
O ataque teve como alvo o Fuse Lending, que é uma implementação do Ola Finanças no blockchain Fuse compatível com EVM.
Por Sam Kessler
Torne-nos preferidos no Google
A Ola Finanças divulgou na quinta-feira que sofreu uma exploração que permitiu que um invasor pegasse US$ 3,6 milhões em Cripto. O ataque teve como alvo a Fuse Lending, que tentou usar o protocolo de empréstimo como serviço da Ola com padrões de token incompatíveis.
De acordo comEscudo Peck, uma empresa de segurança de blockchain que trabalhou com a Ola para diagnosticar a exploração, o invasor aproveitou um bug chamado de "reentrada" em um dos contratos inteligentes da Ola.
A História Continua abaixo
O ataque ocorre após a Aviso Importante , esta semana, de um Exploração de US$ 625 milhões da rede Ronin do Axie Infinity – uma das maiores em Finanças descentralizadas (DeFi) histórico. Embora muito menor em comparação, o ataque Ola serve como um lembrete de como roubos multimilionários – agora comuns em DeFi – continuam a se acumular à medida que muito dinheiro flui para ecossistemas menos conhecidos.
O protocolo DeFi da Ola opera em vários blockchains, e o ataque de quinta-feira teve como alvo sua implantação noRede de fusíveis - um Máquina Virtual Ethereum-blockchain compatível com apenas US$ 12,8 milhões em valor total bloqueado (TVL) antes do ataque, de acordo comdados compilados por DefiLlama.
O atacante começou retirando fundos usandoDinheiro Tornado, que permite que os usuários transfiram Cripto sem deixar rastros. Após transferir os fundos para a rede Fuse, o mutuário os usou como garantia para obter empréstimos na plataforma de empréstimos descentralizada da Ola. Aproveitando o bug de reentrada, o invasor conseguiu remover a garantia sem primeiro pagar o empréstimo.
We will soon be publishing an official report detailing the exploit that occurred on the @voltfinance Lending Network and the plan for recourse.
— Ola Finance (@ola_finance) March 31, 2022
Thank you to @peckshield for providing swift coverage and helping us analyze the root of the exploit.
Read Primer 🧵: https://t.co/UDU10C2YSa
O hacker repetiu esse processo várias vezes em diferentes pools Ola. Eles então transferiram os fundos drenados para carteiras emEthereum e Cadeia BNB.
Ola pausou o uso de seu protocolo de empréstimo na rede Fuse etweetouque em breve publicará um “relatório oficial detalhando a exploração”. O projeto diz que seus serviços em outros blockchains não foram afetados pela exploração e permanecerão operacionais.
Este não é o primeiro, nem o maior ataque de reentrada na memória recente.
Pouco mais de duas semanas antes do ataque a Ola,dois protocolos de empréstimo na blockchain Gnosis sofreu explorações semelhantes. O DAO ataque em 2016, uma exploração infame que levou a um Ethereum garfo duro, também foi uma versão de um ataque de reentrada.
ATUALIZAÇÃO (2 de abril, 0:41 UTC): Adiciona informações para esclarecer a relação entre a Fuse Lending e a Ola Finanças.
Mais para você
More For You
O pesadelo de $1,12 da Moonwell: Uma falha de precificação permitiu que bots confiscassem milhões em garantias de ETH
Um oráculo de preço Chainlink mal configurado na plataforma de empréstimos DeFi Moonwell avaliou brevemente o Coinbase Wrapped ETH (cbETH) em cerca de US$ 1, em vez de aproximadamente US$ 2.200.
What to know:
- Um oráculo de preço Chainlink mal configurado no credor DeFi Moonwell avaliou brevemente o Coinbase Wrapped ETH (cbETH) em cerca de US$ 1, em vez de aproximadamente US$ 2.200, deixando o protocolo com quase US$ 1,8 milhão em dívida inadimplente.
- O erro, provocado por uma alteração de oráculo aprovada pela governança que utilizou apenas a proporção cbETH-para-ETH, permitiu que bots de liquidação apreendessem 1.096,317 cbETH como se fossem quase sem valor e possibilitou que alguns usuários tomassem empréstimos baratos com garantia mínima.
- Moonwell reduziu rapidamente os limites de fornecimento e empréstimo, mas não pôde corrigir imediatamente o oráculo devido a uma votação de governança necessária e a um bloqueio temporal de cinco dias, ressaltando quão críticos e frágeis são os oráculos de preços para aplicações DeFi.
Principais Histórias
