Nanonews.id – Protokol lending terdesentralisasi Ola Finance telah dieksploitasi sekitar 4,6 juta dollar dalam serangan Reentrancy saat ini.
Itu bukan lelucon April Mop untuk pengguna platform DeFi yang menerbitkan post mortem serangan pada 1 April. Tim menyatakan bahwa jaringan pinjaman Ola di blockchain Fuse dieksploitasi pada 31 Maret.
Sebanyak 216.964 USDC, 507.216 BUSD, 200.000,00 fUSD, 550,45 WETH, 26,25 WBTC, dan 1,24 juta token FUSE dicuri. Nilai total pada harga pada saat itu adalah sekitar 4,67 juta dolar, tambahnya.
Perusahaan keamanan PeckShield melaporkan jumlah yang lebih rendah dari 3,6 juta dollar tetapi kerugian protokol lebih besar.
Reentrancy Exploit
We will soon be publishing an official report detailing the exploit that occurred on the @voltfinance Lending Network and the plan for recourse.
Thank you to @peckshield for providing swift coverage and helping us analyze the root of the exploit.
Read Primer 🧵: https://t.co/UDU10C2YSa
— Ola Finance (@ola_finance) March 31, 2022
Menurut tim, serangan itu mengeksploitasi kerentanan reentrancy dalam standar token ERC677. Ini adalah bug smartcontract yang memungkinkan aktor jahat untuk melakukan panggilan berulang ke protokol untuk mencuri aset. PeckShield menjelaskan:
“Peretasan dimungkinkan karena ketidakcocokan antara compound fork dan token berbasis ERC677 / ERC777, yang memiliki fungsi callback bawaan yang disalahgunakan untuk memungkinkan masuknya kembali untuk menguras lending pools.”
hacker meminjam dana menggunakan agunan mereka sendiri pada awalnya. Kemudian mereka mengambil keuntungan dari kerentanan reentrancy dalam smart contrat Ola untuk menghapus agunan tanpa membayar kembali pinjaman.
Serangan awal melibatkan pinjaman flash ETH 515 yang dibungkus dari pair WETH / WBTC pada Voltage Finance untuk mendanai pencurian.
Proses ini diulang dan peretas akhirnya berhasil dengan 3,6 juta dolar dalam crypto yang dicuci melalui layanan anonim transaksi Tornado Cash.
Tim menyatakan bahwa mereka akan mengerjakan rencana kompensasi tetapi tidak menjelaskan secara rinci.
“Dalam beberapa hari mendatang, kami akan merilis rencana kompensasi resmi yang merinci distribusi dana kepada pengguna yang terkena dampak.”
Ia juga menyatakan bahwa mereka akan mencari peretas tersebut dan menawarkan hadiah untuk pengembalian dana.
Token Voltage Finance FUSE telah merosot 21% dalam beberapa jam setelah eksploitasi dan saat ini diperdagangkan pada $0,448.
