Еще один протокол децентрализованных финансов (DeFi) пострадал от хакерской атаки. Эта неделя стала самой убыточной для пользователей DeFi
Децентрализованный протокол кредитования Ola Finance потерял около $4,6 млн в результате хакерской атаки по типу «повторного входа».
Команда проекта опубликовала информацию о взломе 1 апреля. подтвердив факт взлома кредитного протокола Ola на блокчейне Fuse. Эксплойт произошел 31 марта.
SponsoredВ общей сложности было украдено 216 964 USDC, 507 216 BUSD, 200 000 fUSD, 550,45 WETH, 26,25 WBTC. В долларовом выражении ущерб составил $4,67 млн.
Компания PeckShield — эксперт в области кибербезопасности — отмечает, что хакер забрал $3,6 млн, однако ущерб для протокола был выше.
«Ola Finance и voltfinance объединят усилия, чтобы компенсировать убытки пользователям, пострадавшим от взлома. Все проекты берут на себя ответственность и просят сообщества сосредоточиться на дальнейшем росте и не искать виноватых», — написали разработчики Ola.finance в твиттере.
Атака «повторного входа»
Хакер, взломавший DeFi-протокол, использовал уязвимость токенов стандарта ERC677, связанную с возможностью повтрного входа. Это ошибка смарт-контракта, которая позволяет злоумышленнику отправлять протоколу множественные запросы и выводить средства. В PeckShield объясняют:
«Взлом произошел из-за несовместимости между форком Compound и токенами стандарта ERC677/ / ERC777- которые имеют встроенные функции обратного вызова. Хакеры использовали эту функцию, чтобы повторно входить в кредитный пул и выводить деньги».
Злоумышленник сначала заимствовал средства, используя собственное обеспечение. Затем он воспользовался уязвимостью повторного входа в смарт-контрактах Ola и забрал обеспечение, не выплатив заем.
Первоначальная атака включала в себя флэш-кредит на сумму 515 обернутых ETH в паре WETH/WBTC на Voltage Finance. Эти средства пошли на финансирование взлома.
SponsoredВ конечном счете хакеру досталась криптовалюта на $3,6 млн, которую он отмыл через миксер Tornado Cash.
Команда заявила, что будет «работать над компенсационным планом, но не вдавалась в подробности.
«В ближайшие дни мы опубликуем официальный компенсационный план с подробным описанием распределения средств среди пострадавших пользователей».
Команда также собирается связаться с хакером и предложить ему вознаграждение за возврат денег.
Токен Voltage Finance FUSE упал на 21% в течение нескольких часов после эксплойта и сейчас торгуется на уровне $0,448.
Тяжелая неделя для DeFi
Ранее на этой неделе злоумышленники взломали сайдчейн Ronin экосистемы Axie Infinity и украли криптовалютные активы на $615 млн.
Sky Mavis, компания-разработчик игры, сообщила, что готова компенсировать все убытки.
В прошлом месяце протокол кредитования DeFi Hundred Finance потерял около $6,5 млн долларов в результате аналогичной атаки повторного входа.
