Ola Finance sofre hack por US$ 3,6 milhões em ataque de reentrada

LinkedIn

O protocolo de empréstimo descentralizado Ola Finance anunciou na quinta-feira (31) que sofreu um exploit que permitiu que um invasor pegasse US$ 3,6 milhões em criptomoedas.

De acordo com a PeckShield, uma empresa de segurança de blockchain que trabalhou com a Ola para diagnosticar o exploit, o invasor aproveitou o chamado bug de “reentrada” em um dos contratos inteligentes da Ola.

O ataque ocorre após a divulgação desta semana de um exploit de US$ 625 milhões da rede Ronin da Axie Infinity – uma das maiores da história das finanças descentralizadas ( DeFi ). Embora muito menor em comparação, o ataque Ola é um lembrete de como os roubos multimilionários – agora comuns em DeFi – continuam a se acumular à medida que muito dinheiro flui para ecossistemas menos conhecidos.

O protocolo DeFi da Ola opera em várias blockchains, e o ataque de quinta-feira teve como alvo sua implantação na rede Fuse – uma blockchain compatível com Ethereum Virtual Machine com apenas US$ 12,8 milhões em valor total bloqueado ( TVL ) antes do ataque, de acordo com dados compilados pela DefiLlama.

O invasor começou sacando fundos usando o Tornado Cash, que permite que os usuários transfiram criptomoedas sem deixar rastros. Depois de transferir os fundos para a rede Fuse, o mutuário os usou como garantia para fazer empréstimos na plataforma de empréstimos descentralizada da Ola. Aproveitando o bug de reentrada, o invasor conseguiu remover a garantia sem primeiro pagar o empréstimo.

Tradução do tweet: Em breve publicaremos um relatório oficial detalhando o exploit que ocorreu no @voltfinance Rede de Crédito e o plano de recurso. Obrigada por @peckshield por fornecer cobertura rápida e nos ajudar a analisar a raiz do exploit.

O hacker repetiu esse processo várias vezes em diferentes pools Ola. Eles então transferiram os fundos drenados para carteiras no Ethereum e BNB Chain.

A Ola interrompeu o uso de seu protocolo de empréstimo na rede Fuse e twittou que em breve publicará um “relatório oficial detalhando o exploit”. O projeto diz que seus serviços em outras blockchains não foram afetados pelo exploit e permanecerão operacionais.

Este não é o primeiro, nem o maior ataque de reentrada na memória recente.

Pouco mais de duas semanas antes do ataque Ola, dois protocolos de empréstimo na blockchain Gnosis sofreram expolias semelhantes. O ataque DAO em 2016, um exploit infame que levou a um hard fork Ethereum, também foi uma versão de um ataque de reentrada (re-entrancy attack).

Com informações de CoinDesk

Deixe um comentário