Ola Finance ສູນເສຍ $4.6M ໃນການຂູດຮີດ DeFi ຫຼ້າສຸດ

ການເງິນແບບແບ່ງຂັ້ນຄຸ້ມຄອງອີກອັນ ໜຶ່ງ (Defi) ໂປໂຕຄອນໄດ້ຖືກຂູດຮີດໃນອາທິດດຽວກັນທີ່ອຸດສາຫະກໍາລາຍງານການ hack ທີ່ໃຫຍ່ທີ່ສຸດທີ່ເຄີຍມີມາ.

ອະນຸສັນຍາການໃຫ້ເງິນກູ້ແບບແບ່ງຂັ້ນຄຸ້ມຄອງ Ola Finance ໄດ້ຖືກຂູດຮີດປະມານ 4.6 ລ້ານໂດລາໃນອັນທີ່ໄດ້ຖືກອະທິບາຍວ່າເປັນການໂຈມຕີຄືນໃຫມ່.

ມັນບໍ່ແມ່ນເລື່ອງຕະຫຼົກ April Fool ສໍາລັບຜູ້ໃຊ້ຂອງ Defi ເວທີທີ່ພິມເຜີຍແຜ່ a ຫຼັງຈາກນັ້ນ mortem ຂອງການໂຈມຕີໃນວັນທີ 1 ເດືອນເມສາ. ທີມງານກ່າວວ່າເຄືອຂ່າຍການກູ້ຢືມ Ola ໃນ Fuse blockchain ໄດ້ຖືກຂູດຮີດໃນວັນທີ 31 ມີນາ.

ທັງໝົດ 216,964 USDC, 507,216 BUSD, 200,000.00 fUSD, 550.45 WETH, 26.25 WBTC, ແລະ 1.24 ລ້ານເຄື່ອງໝາຍ FUSE ຖືກລັກ. ມູນຄ່າລວມຂອງລາຄາໃນເວລານັ້ນແມ່ນປະມານ 4.67 ລ້ານໂດລາ, ມັນກ່າວຕື່ມວ່າ.

ຄວາມປອດໄພ ບໍລິສັດ PeckShield ລາຍງານ ຈໍານວນທີ່ຕໍ່າກວ່າ $3.6 ລ້ານສໍາລັບແຮກເກີທີ່ເພີ່ມວ່າການສູນເສຍໂປໂຕຄອນແມ່ນໃຫຍ່ກວ່າ.

1/2 ຢືນຮ່ວມກັນ, @ola_finance ແລະ @voltfinance ຍັງຄົງເປັນເອກະສັນກັນໃນຄວາມພະຍາຍາມຂອງພວກເຮົາເພື່ອຊົດເຊີຍຜູ້ໃຊ້ທີ່ທົນທຸກຈາກການຂູດຮີດຫຼ້າສຸດ.
ໂຄງການທັງຫມົດຍອມຮັບຄວາມຮັບຜິດຊອບແລະຂໍໃຫ້ຊຸມຊົນຂອງພວກເຮົາສຸມໃສ່ການກ້າວຕໍ່ໄປຂອງການເຕີບໂຕ, ແທນທີ່ຈະເປັນການລົງໂທດ.
— Ola.finance (@ola_finance) ມີນາ 31, 2022

Reentrancy Exploit

ອີງຕາມທີມງານ, ການໂຈມຕີໄດ້ຂູດຮີດຊ່ອງຫວ່າງ retrancy ໃນມາດຕະຖານ ERC677 token. ນີ້ແມ່ນຂໍ້ບົກພ່ອງຂອງສັນຍາທີ່ສະຫຼາດທີ່ອະນຸຍາດໃຫ້ນັກສະແດງທີ່ເປັນອັນຕະລາຍສາມາດໂທຊ້ຳໆໄປຫາໂປຣໂຕຄໍເພື່ອລັກລອບຊັບສິນ. PeckShield ອະທິບາຍວ່າ:

"ການແຮັກແມ່ນເປັນໄປໄດ້ເນື່ອງຈາກຄວາມບໍ່ເຂົ້າກັນໄດ້ລະຫວ່າງເຄື່ອງສ້ອມປະສົມແລະ tokens ທີ່ອີງໃສ່ ERC677/ERC777, ເຊິ່ງມີຫນ້າທີ່ເອີ້ນຄືນໃນຕົວທີ່ໃຊ້ໃນທາງທີ່ຜິດເພື່ອອະນຸຍາດໃຫ້ການກັບຄືນເພື່ອລະບາຍການກູ້ຢືມເງິນ."

ຜູ້ໂຈມຕີໄດ້ຢືມເງິນໂດຍໃຊ້ຫຼັກໝັ້ນຂອງຕົນໃນຕອນທຳອິດ. ຫຼັງຈາກນັ້ນ, ພວກເຂົາເຈົ້າໄດ້ໃຊ້ປະໂຍດຈາກຄວາມອ່ອນແອຂອງ reentrancy ໃນສັນຍາສະຫມາດຂອງ Ola ເພື່ອເອົາຫຼັກຊັບຄໍ້າປະກັນໂດຍບໍ່ມີການຈ່າຍຄືນເງິນກູ້.

ການໂຈມຕີເບື້ອງຕົ້ນກ່ຽວຂ້ອງກັບການກູ້ຢືມເງິນ ETH 515 ຫໍ່ຈາກຄູ່ WETH / WBTC ກ່ຽວກັບ Voltage Finance ເພື່ອສະຫນອງທຶນ heist.

ຂະບວນການດັ່ງກ່າວໄດ້ຖືກຊ້ໍາອີກຄັ້ງແລະໃນທີ່ສຸດແຮກເກີໄດ້ເອົາເງິນ 3.6 ລ້ານໂດລາໃນ crypto ເຊິ່ງຖືກລ້າງຜ່ານບໍລິການໂອນເງິນ Tornado Cash.

ທີມງານກ່າວວ່າຈະເຮັດວຽກກ່ຽວກັບແຜນການຊົດເຊີຍແຕ່ບໍ່ໄດ້ເຂົ້າໄປໃນລາຍລະອຽດ.

"ໃນຊຸມມື້ຂ້າງຫນ້າ, ພວກເຮົາຈະປ່ອຍແຜນການຊົດເຊີຍທີ່ເປັນທາງການທີ່ມີລາຍລະອຽດການແຈກຢາຍກອງທຶນໃຫ້ແກ່ຜູ້ໃຊ້ທີ່ໄດ້ຮັບຜົນກະທົບ."

ມັນຍັງໄດ້ກ່າວວ່າມັນຈະເອື້ອມອອກໄປຫາຜູ້ໂຈມຕີແລະສະເຫນີໃຫ້ບໍລິການສໍາລັບການກັບຄືນມາຂອງກອງທຶນໄດ້.

Voltage Finance token FUSE ໄດ້ tanked 21% ໃນຊົ່ວໂມງຫຼັງຈາກການຂຸດຄົ້ນແລະປະຈຸບັນການຊື້ຂາຍຢູ່ທີ່ $ 0.448.

ອາທິດທີ່ຫຍຸ້ງຍາກສໍາລັບ DeFi

ການ hack ມາໃນອາທິດດຽວກັນກັບ Axie Infinity's ຂົວ Ronin ຖືກຂູດຮີດ ສໍາລັບມູນຄ່າ 615 ລ້ານໂດລາ ເຮັດໃຫ້ມັນເປັນການໂຈມຕີທີ່ຮ້າຍແຮງທີ່ສຸດຂອງອຸດສາຫະກໍາ.

Sky Mavis, ບໍລິສັດທີ່ຢູ່ເບື້ອງຫລັງເກມ Metaverse ທີ່ນິຍົມ, ໄດ້ລະບຸວ່າມັນ "ມຸ່ງຫມັ້ນຢ່າງເຕັມທີ່" ກັບ ຈ່າຍຄືນໃຫ້ຜູ້ເຄາະຮ້າຍ ຂອງການໂຈມຕີ.

ໃນເດືອນແລ້ວນີ້, ອະນຸສັນຍາການໃຫ້ກູ້ຢືມ DeFi Hundred Finance ສູນເສຍປະມານ 6.5 ລ້ານໂດລາສະຫະລັດ ໃນການໂຈມຕີທີ່ຄ້າຍຄືກັນນີ້.

ຂໍ້ສັງເກດ

ຂໍ້ມູນທັງ ໝົດ ທີ່ມີຢູ່ໃນເວບໄຊທ໌ຂອງພວກເຮົາແມ່ນຖືກເຜີຍແຜ່ດ້ວຍຄວາມຈິງໃຈແລະເພື່ອຈຸດປະສົງຂໍ້ມູນທົ່ວໄປເທົ່ານັ້ນ. ການກະ ທຳ ໃດໆທີ່ຜູ້ອ່ານປະຕິບັດຕາມຂໍ້ມູນທີ່ພົບໃນເວບໄຊທ໌ຂອງພວກເຮົາແມ່ນມີຄວາມສ່ຽງຂອງພວກເຂົາເອງ.

ແຫຼ່ງຂໍ້ມູນ: https://beincrypto.com/ola-finance-loses-4-6m-in-latest-defi-exploit/