قرصة شركة Ola Finance وسرقة 4.7 مليون دولار
قرصة شركة Ola Finance و تم استغلال بروتوكول الإقراض اللامركزي Ola Finance بأكثر من 4.67 مليون دولار في هجوم “إعادة الدخول” يوم الخميس ، وفقًا لتقرير ما بعد الوفاة الصادر عن المطورين.
تدير Ola بروتوكول تمويل لامركزي (DeFi) عبر العديد من سلاسل الكتل ، واستهدف هجوم الخميس نشره على شبكة Fuse.
يشير DeFi إلى استخدام العقود الذكية بدلاً من الأطراف الثالثة للخدمات المالية مثل الإقراض والاقتراض.
1/2 Standing together, @ola_finance and @voltfinance remain united in our efforts to compensate users suffering from the latest exploit.
All projects accept responsibility and ask our communities to focus on the next steps of growth, rather than assigning blame.
— Ola.finance (@ola_finance) March 31, 2022
تم استغلال خدمات Ola على شبكة Fuse مقابل 216.964.18 دولارًا أمريكيًا و 507.216.68 مليار دولار أمريكي و 200.000.00 دولار أمريكي و 550.45 إيثر ملفوف و 26.25 بيتكوين ملفوف و 1.240.000.00 فيوز.
هذا يستحق أكثر من 4.67 مليون دولار بالأسعار الحالية.
وقع الهجوم عبر ثغرة أمنية في إعادة الدخول في معيار الرمز المميز ERC677
. Reentrancy هو خطأ شائع يسمح للمهاجمين بخداع عقد ذكي عن طريق إجراء مكالمات متكررة إلى بروتوكول لسرقة الأصول. المكالمة هي إذن لعنوان العقد الذكي للتفاعل مع عنوان محفظة المستخدم.
في أول معاملة سرقة ، أخذ المهاجم قرضًا سريعًا بقيمة 515 WETH من زوج WETH-WBTC على Voltage Finance لتمويل الهجوم.
وأكد تقرير تشريح الجثة أنه في معاملات لاحقة ، تجنب المهاجم قرضًا سريعًا باستخدام الأموال التي سُرقت بالفعل.
Voltage هو بروتوكول تداول لامركزي يسمح بالتداول الآلي لرموز DeFi على شبكة Fuse.
كان المهاجمون قادرين على خداع عقود Voltage الذكية عن طريق نقل الأصول المغلفة – التوليد باستخدام قروض سريعة ، وهو شكل من أشكال الإقراض غير المضمون – واستدعاء العقد الذكي لتحويل الأموال من Voltage إلى عناوين المتسللين.
وقالت شركة Ola Finance إن الهجوم لا يمكن تكراره على شبكات الإقراض الأخرى التي تدعمها. قال المطورون: “سنحقق في منطق” النقل “لكل رمز مميز للتأكد من عدم وجود معايير رمزية إشكالية قيد الاستخدام.
في غضون ذلك ، قالت شركة Voltage إنها كانت تتحدث مع أطراف خارجية لتعقب المهاجم ووضع خطة لتعويض المستخدمين المتضررين.