Еще один протокол децентрализованных финансов (DeFi) пострадал от хакерской атаки. Эта неделя стала самой убыточной для пользователей DeFi
Децентрализованный протокол кредитования Ola Finance потерял около $4,6 млн в результате хакерской атаки по типу «повторного входа».
Команда проекта опубликовала информацию о взломе 1 апреля. подтвердив факт взлома кредитного протокола Ola на блокчейне Fuse. Эксплойт произошел 31 марта.
В общей сложности было украдено 216 964 USDC, 507 216 BUSD, 200 000 fUSD, 550,45 WETH, 26,25 WBTC. В долларовом выражении ущерб составил $4,67 млн.
Компания PeckShield — эксперт в области кибербезопасности — отмечает, что хакер забрал $3,6 млн, однако ущерб для протокола был выше.
«Ola Finance и voltfinance объединят усилия, чтобы компенсировать убытки пользователям, пострадавшим от взлома. Все проекты берут на себя ответственность и просят сообщества сосредоточиться на дальнейшем росте и не искать виноватых», — написали разработчики Ola.finance в твиттере.
Атака «повторного входа»
Хакер, взломавший DeFi-протокол, использовал уязвимость токенов стандарта ERC677, связанную с возможностью повтрного входа. Это ошибка смарт-контракта, которая позволяет злоумышленнику отправлять протоколу множественные запросы и выводить средства. В PeckShield объясняют:
«Взлом произошел из-за несовместимости между форком Compound и токенами стандарта ERC677/ / ERC777- которые имеют встроенные функции обратного вызова. Хакеры использовали эту функцию, чтобы повторно входить в кредитный пул и выводить деньги».
Злоумышленник сначала заимствовал средства, используя собственное обеспечение. Затем он воспользовался уязвимостью повторного входа в смарт-контрактах Ola и забрал обеспечение, не выплатив заем.
Первоначальная атака включала в себя флэш-кредит на сумму 515 обернутых ETH в паре WETH/WBTC на Voltage Finance. Эти средства пошли на финансирование взлома.
В конечном счете хакеру досталась криптовалюта на $3,6 млн, которую он отмыл через миксер Tornado Cash.
Команда заявила, что будет «работать над компенсационным планом, но не вдавалась в подробности.
«В ближайшие дни мы опубликуем официальный компенсационный план с подробным описанием распределения средств среди пострадавших пользователей».
Команда также собирается связаться с хакером и предложить ему вознаграждение за возврат денег.
Токен Voltage Finance FUSE упал на 21% в течение нескольких часов после эксплойта и сейчас торгуется на уровне $0,448.
Тяжелая неделя для DeFi
Ранее на этой неделе злоумышленники взломали сайдчейн Ronin экосистемы Axie Infinity и украли криптовалютные активы на $615 млн.
Sky Mavis, компания-разработчик игры, сообщила, что готова компенсировать все убытки.
В прошлом месяце протокол кредитования DeFi Hundred Finance потерял около $6,5 млн долларов в результате аналогичной атаки повторного входа.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.
