04/04/22
Платформа децентрализованного кредитования Ola Finance заявила о взломе в четверг утром, сообщив, что было украдено около 4,67 миллиона долларов в криптовалюте.
Ola Finance подтвердила сообщения аналитической компании PeckShield о том, что 216 964,18 USDC, 507 216,68 BUSD, 200 000,00 fUSD, 550,45 WETH, 26,25 WBTC и 1 240 000,00 FUSE были украдены в ходе атаки, которая включала использование уязвимости «повторного входа».
Атаки с повторным входом связаны с ошибками в контрактах, которые позволяют злоумышленнику неоднократно снимать средства до того, как исходная транзакция будет одобрена или отклонена, или средства должны быть возвращены.
Хакеры использовали собственные средства в качестве залога для получения первоначального кредита. Затем, благодаря уязвимости в смарт-контракте, они смогли вывести свои средства из обеспечения кредита. Повторив данное действие несколько раз, хакеры получили ничем не обеспеченный кредит в $3.6 млн.
Этот метод атаки использовался в нескольких других взломах децентрализованных финансов (DeFi), включая взлом Cream Finance на 29 миллионов долларов в августе 2021 года и взлом протокола DeFi Revest Finance на 2 миллиона долларов в воскресенье. Ola Finance — поставщик услуг, отвечающий за создание кредитной сети. Компания работает с Fuse Networks, которая управляет кредитной сетью, и использует пользовательский интерфейс Voltage Finance, предоставляющий доступ к кредитной сети.
Компания планирует выпустить «формализованный план компенсации», в котором расскажет о компенсации пострадавшим пользователям, а исправление для уязвимости будет опубликовано позднее.
«Заимствование и кредитование кредитной сети на Fuse будет временно отключено; пользователи с заемными активами не накапливают проценты, и им рекомендуется не выплачивать свои кредиты в настоящее время (поскольку они вряд ли смогут отозвать свой залог)», — говорится в сообщении компании.
«После того, как этот патч будет тщательно протестирован и проверен, все возможности заимствования и кредитования в Voltage возобновятся».
Ola Finance заявила, что работает с Fuse и другими внешними экспертами, чтобы «выследить злоумышленника», и они планируют связаться с хакером, чтобы «договориться о возврате средств в обмен на вознаграждение».
