Ola Finanza sfruttata per 3,6 milioni di dollari in un attacco di rientro
L'attacco ha preso di mira Fuse Lending, che è un'implementazione di Ola Finanza sulla blockchain Fuse compatibile con EVM.
Ola Finanza ha rivelato giovedì di aver subito un exploit che ha consentito a un utente malintenzionato di impossessarsi di Cripto per un valore di 3,6 milioni di dollari. L'attacco ha preso di mira Fuse Lending, che ha tentato di utilizzare il protocollo Lending-as-a-Service di Ola con standard di token incompatibili.
Secondo PeckShield , una società di sicurezza blockchain che ha collaborato con Ola per diagnosticare l'exploit, l'aggressore ha approfittato di un cosiddetto bug di "rientrata" in ONE dei contratti intelligenti di Ola.
L'attacco arriva dopo la Dichiarazione informativa di questa settimana di un exploit da 625 milioni di dollari della rete Ronin di Axie Infinity, ONE delle più grandi nella storia Finanza decentralizzata ( DeFi ). Anche se molto più piccolo in confronto, l’attacco di Ola ricorda come i furti multimilionari – ormai comuni nella DeFi – continuino ad accumularsi mentre grandi flussi di denaro fluiscono verso ecosistemi meno conosciuti.
Il protocollo DeFi di Ola opera su diverse blockchain e l'attacco di giovedì ha preso di mira la sua distribuzione sulla rete Fuse , una blockchain compatibile con Ethereum Virtual Machine con un valore totale bloccato ( TVL ) di soli 12,8 milioni di dollari prima dell'attacco, secondo i dati compilati da DefiLlama .
L'aggressore ha iniziato prelevando fondi utilizzando Tornado Cash , che consente agli utenti di trasferire Cripto senza lasciare traccia. Dopo aver trasferito i fondi alla rete Fuse, il mutuatario li ha utilizzati come garanzia per contrarre prestiti sulla piattaforma di prestito decentralizzata di Ola. Approfittando del bug di rientro, l’aggressore è poi riuscito a rimuovere la garanzia senza prima restituire il prestito.
Ola ha sospeso l'uso del suo protocollo di prestito sulla rete Fuse e ha twittato che presto pubblicherà un "rapporto ufficiale che dettaglia l'exploit". Il progetto afferma che i suoi servizi su altre blockchain non sono stati influenzati dall'exploit e rimarranno operativi.
Questo non è il primo, né il più grande attacco di rientro degli ultimi anni.
Poco più di due settimane prima dell’attacco di Ola, due protocolli di prestito sulla blockchain Gnosis hanno subito exploit simili. Anche l’attacco DAO del 2016, un famigerato exploit che ha portato a un hard fork Ethereum , era una versione di un attacco di rientro.
AGGIORNAMENTO (2 aprile, 0:41 UTC): aggiunge informazioni per chiarire la relazione tra Fuse Lending e Ola Finanza.