Ein weiteres dezentralisiertes Finanzprotokoll (DeFi) wurde in derselben Woche ausgenutzt, in der die Branche ihren größten Hack aller Zeiten meldete.
Das dezentrale Kreditvergabeprotokoll von Ola Finance wurde für etwa 4,6 Millionen US-Dollar bei einem sogenannten Wiedereintrittsangriff eingesetzt.
Es war kein Aprilscherz für die Benutzer der DeFi-Plattform, die am 1. April eine Obduktion des Angriffs veröffentlichten. Das Team sagte, das Ola-Kreditnetzwerk auf der Fuse-Blockchain sei am 31. März ausgenutzt worden.
Insgesamt wurden 216.964 USDC, 507.216 BUSD, 200.000,00 fUSD, 550,45 WETH, 26,25 WBTC und 1,24 Millionen FUSE-Token gestohlen. Der damalige Gesamtpreiswert betrug rund 4,67 Millionen US-Dollar, fügte er hinzu.
Das Sicherheitsunternehmen PeckShield meldete eine um 3,6 Millionen US-Dollar niedrigere Summe für den Hacker und fügte hinzu, dass der Verlust des Protokolls größer sei.
Ausnutzung des Wiedereintritts
Nach Angaben des Teams nutzte der Angriff eine ERC677-Token-Standard-Wiedereintrittsschwachstelle aus. Dies ist ein intelligenter Vertragsfehler, der es einem Angreifer ermöglicht, das Protokoll wiederholt aufzurufen, um Ressourcen zu stehlen. PeckShield erklärt:
„Hacking wird durch die Inkompatibilität zwischen dem Fork Compound und ERC677/ERC777-basierten Token ermöglicht, die eingebaute Callback-Funktionen haben, die missbraucht werden, um einen Wiedereintritt zu ermöglichen, um den Kreditpool zu leeren.“
Zunächst hat sich der Angreifer mit eigenen Sicherheiten Gelder geliehen. Also nutzten sie die Smart Contract Re-Entry-Schwachstelle von Ola aus, um die Sicherheiten zu entfernen, ohne das Darlehen zurückzuzahlen.
Der erste Angriff betraf einen 515-verpackten ETH-Flash-Darlehen des WETH / WBTC-Paares auf Voltage Finance, um den Raub zu finanzieren.
Der Vorgang wurde wiederholt und der Hacker entkam schließlich mit einer Kryptowährung im Wert von 3,6 Millionen US-Dollar, die durch den Anonymisierungsdienst für Tornado Cash-Transaktionen gewaschen wurde.
Das Team sagte, es werde an einem Vergütungsplan arbeiten, ging aber nicht ins Detail.
„In den kommenden Tagen werden wir einen formalisierten Vergütungsplan veröffentlichen, der die Verteilung der Gelder an die betroffenen Benutzer detailliert beschreibt.“
Er behauptete auch, dass er den Stürmer kontaktieren und ein Kopfgeld für die Rückgabe des Geldes anbieten würde.
Der FUSE-Token von Voltage Finance stieg in den Stunden nach dem Exploit um 21 % und wird derzeit bei 0,448 $ gehandelt.
Eine harte Woche für DeFi
Der Hack kommt in derselben Woche, in der die Ronin Bridge von Axie Infinity für satte 615 Millionen US-Dollar ausgenutzt wurde, was ihn zum schlimmsten Angriff der Branche macht.
Sky Mavis, das Unternehmen hinter dem beliebten Metaverse-Spiel, sagte, es sei „voll und ganz verpflichtet“, die Opfer des Angriffs zu entschädigen .
Im vergangenen Monat verlor das DeFi Hundred Finance-Darlehensprotokoll in einem ähnlichen Wiedereintrittskampf etwa 6,5 Millionen US -Dollar.
Der Beitrag Ola Finance verliert 4,6 Millionen US-Dollar im neuesten DeFi-Exploit , der erstmals auf BeInCrypto aufgetaucht ist .