Un altro protocollo di finanza decentralizzata (DeFi) è stato sfruttato nella stessa settimana in cui l'industria ha riportato il suo più grande hack mai realizzato.
Il protocollo di prestito decentralizzato Ola Finance è stato sfruttato per circa 4,6 milioni di dollari in quello che è stato descritto come un attacco di rientro.
Non è stato un pesce d'aprile per gli utenti della piattaforma DeFi che ha pubblicato un post mortem dell'attacco il 1 aprile. Il team ha dichiarato che la rete di prestito Ola sulla blockchain di Fuse è stata sfruttata il 31 marzo.
Sono stati rubati un totale di 216.964 USDC, 507.216 BUSD, 200.000,00 fUSD, 550,45 WETH, 26,25 WBTC e 1,24 milioni di token FUSE. Il valore totale dei prezzi all'epoca era di circa $ 4,67 milioni, ha aggiunto.
La società di sicurezza PeckShield ha riportato una somma inferiore di $ 3,6 milioni per l'hacker aggiungendo che la perdita del protocollo è stata maggiore.
Exploit di rientro
Secondo il team, l'attacco ha sfruttato una vulnerabilità di rientro nello standard del token ERC677. Questo è un bug del contratto intelligente che consente a un attore malintenzionato di effettuare chiamate ripetute al protocollo per rubare risorse. PeckShield ha spiegato:
"L'hacking è reso possibile dall'incompatibilità tra il fork Compound e i token basati su ERC677/ERC777, che hanno le funzioni di callback integrate utilizzate in modo improprio per consentire il rientro per drenare il pool di prestiti".
All'inizio l'attaccante ha preso in prestito fondi utilizzando la propria garanzia. Quindi hanno approfittato della vulnerabilità di rientro nei contratti intelligenti di Ola per rimuovere la garanzia senza rimborsare il prestito.
L'attacco iniziale ha coinvolto un prestito flash ETH avvolto 515 dalla coppia WETH/WBTC su Voltage Finance per finanziare la rapina.
Il processo è stato ripetuto e l'hacker alla fine è scappato con 3,6 milioni di dollari in criptovalute che sono stati lavati attraverso il servizio di anonimizzazione delle transazioni Tornado Cash.
Il team ha dichiarato che lavorerà su un piano di compensazione, ma non è entrato nei dettagli.
"Nei prossimi giorni rilasceremo un piano di compensazione formalizzato che descrive in dettaglio la distribuzione dei fondi agli utenti interessati".
Ha anche affermato che avrebbe contattato l'attaccante e offerto una taglia per la restituzione dei fondi.
Il token FUSE di Voltage Finance è aumentato del 21% nelle ore successive all'exploit e viene attualmente scambiato a $ 0,448.
Una settimana difficile per la DeFi
L'hacking arriva nella stessa settimana in cui il ponte Ronin di Axie Infinity è stato sfruttato per ben 615 milioni di dollari, rendendolo il peggior attacco del settore.
Sky Mavis, l'azienda dietro il popolare gioco Metaverse, ha dichiarato di essere "pienamente impegnata" a rimborsare le vittime dell'attacco.
Il mese scorso, il protocollo di prestito DeFi Hundred Finance ha perso circa 6,5 milioni di dollari in un simile attacco di rientro.
Il post Ola Finance perde $ 4,6 milioni nell'ultimo exploit DeFi è apparso per la prima volta su BeInCrypto .