Ola Finanzas explotada por 3,6 millones de dólares en un ataque de reingreso
El ataque tuvo como objetivo Fuse Lending, que es una implementación de Ola Finanzas en la cadena de bloques Fuse compatible con EVM.
Ola Finanzas reveló el jueves que sufrió un exploit que permitió a un atacante apoderarse de Cripto por valor de 3,6 millones de dólares. El ataque tuvo como objetivo Fuse Lending, que intentó utilizar el protocolo de préstamo como servicio de Ola con estándares de tokens incompatibles.
Según PeckShield , una empresa de seguridad blockchain que trabajó con Ola para diagnosticar el exploit, el atacante aprovechó un error llamado "reentrada" en ONE de los contratos inteligentes de Ola.
El ataque se produce después de la Aviso legal esta semana de un exploit de 625 millones de dólares de la red Ronin de Axie Infinity, una de las más grandes en la historia de las Finanzas descentralizadas ( DeFi ). Si bien es mucho más pequeño en comparación, el ataque de Ola sirve como recordatorio de cómo los robos multimillonarios (ahora comunes en DeFi) continúan acumulándose a medida que grandes cantidades de dinero fluyen hacia ecosistemas menos conocidos.
El protocolo DeFi de Ola opera en varias cadenas de bloques, y el ataque del jueves tuvo como objetivo su implementación en la red Fuse , una cadena de bloques compatible con la máquina virtual Ethereum con apenas 12,8 millones de dólares en valor total bloqueado ( TVL ) antes del ataque, según datos compilados por DefiLlama .
El atacante comenzó retirando fondos utilizando Tornado Cash , que permite a los usuarios transferir Cripto sin dejar rastro. Después de transferir los fondos a la red Fuse, el prestatario los utilizó como garantía para solicitar préstamos en la plataforma de préstamos descentralizados de Ola. Aprovechando el error de reentrada, el atacante pudo retirar la garantía sin pagar primero el préstamo.
Ola detuvo el uso de su protocolo de préstamos en la red Fuse y tuiteó que pronto publicará un "informe oficial que detalla el exploit". El proyecto dice que sus servicios en otras cadenas de bloques no se vieron afectados por el exploit y seguirán operativos.
Este no es el primero ni el mayor ataque de reentrada en la memoria reciente.
Poco más de dos semanas antes del ataque de Ola, dos protocolos de préstamos en la cadena de bloques Gnosis sufrieron ataques similares. El ataque DAO en 2016, un exploit infame que condujo a una bifurcación dura de Ethereum , también fue una versión de un ataque de reentrada.
ACTUALIZACIÓN (2 de abril, 0:41 UTC): agrega información para aclarar la relación entre Fuse Lending y Ola Finanzas.