Ola Finance, Saldırganların Yeniden Giriş Sömürüsünde 4,7 Milyon Dolar Çaldığını Söyledi

Ola, birkaç blok zincirinde merkezi olmayan bir finans (DeFi) protokolü işletiyor ve Perşembe günkü saldırı, Fuse ağındaki dağıtımını hedef aldı. DeFi, borç verme ve ödünç alma gibi finansal hizmetler için üçüncü şahıslar yerine akıllı sözleşmelerin kullanılmasını ifade eder.

Ola’nın Fuse ağındaki hizmetleri 216.964.18 USDC, 507.216.68 BUSD, 200.000.00 fUSD, 550.45 sarılı ether, 26.25 sarılı bitcoin ve 1.2400.000,00 FUSE için kullanıldı. Bu, cari fiyatlarla 4,67 milyon doların üzerinde bir değer.

Saldırı, ERC677 belirteç standardındaki bir yeniden giriş güvenlik açığı aracılığıyla gerçekleşti. Yeniden giriş, saldırganların varlıkları çalmak için bir protokole tekrar tekrar çağrılar yaparak akıllı bir sözleşmeyi kandırmalarına izin veren yaygın bir hatadır. Çağrı, akıllı sözleşme adresinin bir kullanıcının cüzdan adresiyle etkileşime girmesi için bir yetkilendirmedir.

İlk soygun işleminde saldırgan, saldırıyı finanse etmek için Voltage Finance’deki WETH-WBTC çiftinden 515 WETH flaş kredisi aldı. Otopsi raporuna göre, daha sonraki işlemlerde saldırgan, çalınmış olan fonları kullanarak flaş kredi kullanmaktan kaçındı. Voltaj, Fuse ağında DeFi tokenlerinin otomatik ticaretine izin veren merkezi olmayan bir ticaret protokolüdür.

Saldırganlar, sarılmış varlıkları aktararak – bir tür teminatsız borç verme olan flash krediler kullanarak – ve akıllı sözleşmeyi Voltaj’dan bilgisayar korsanlarının adreslerine para transfer etmeye çağırarak Voltaj’ın akıllı sözleşmelerini kandırmayı başardılar.

Ola Finance, saldırının desteklediği diğer kredi ağlarında tekrarlanamayacağını söyledi. Geliştiriciler, “Sorunlu belirteç standartlarının kullanılmadığından emin olmak için her bir belirtecin “aktarma” mantığını araştıracağız” dedi.

Bu arada Voltage, saldırganı izlemek ve etkilenen kullanıcıları telafi etmek için bir plan oluşturmak için dış taraflarla konuştuğunu söyledi.