去中心化借貸協議 Ola Finance 3 月 31 日在 Fuse 鏈上遭遇駭客攻擊,導致價值超過 467 萬美元的加密貨幣被盜。 Ola Finance 表示,將尋求與駭客接觸,以提供賞金的方式,讓攻擊者返還資金,並承諾將在未來數日發布一份正式的補償計劃,詳細說明向受影響用戶進行補償的資金分配細節。
(前情提要:史上最大Defi竊案!Axie Infinity側鏈 Ronin 遭駭6.2億美金,SBF : 證實贓款流入FTX)
去中心化借貸協議 Ola Finance 3 月 31 日在 Fuse 鏈上遭遇駭客攻擊, Ola Finance 今日發布事後剖析報告指出,共有價值超過 467 萬美元的加密貨幣被盜,包括 216,964.18 顆 USDC、507,216.68 顆 BUSD、200,000 顆 fUSD、550.45 顆 WETH、26.25 顆 WBTC和 1,240,000.00 顆 FUSE。
Ola Finance 表示,正在與 Fuse 團隊和其他外部方緊密合作,以追蹤攻擊者、並推出一個補償受影響用戶的計劃,Ola Finance 將尋求與攻擊者接觸,以提供賞金的方式,讓攻擊者返還資金,而補償計劃的全部細節將在一切都塵埃落定後公布。
駭客攻擊原因
Ola Finance 在事後剖析報告中指出,此次攻擊是由於一個 ERC-677 標準中的可重入漏洞,導致駭客耗盡了借貸池。可重入性是一個常見的 bug,允許攻擊者通過重複調用協議來欺騙智能合約,以竊取資產。
在第一次搶劫交易中,攻擊者從去中心化交易協議 Voltage Finance 上的 WETH-WBTC 交易對,獲得了一筆 515 顆 WETH 的閃電貸來資助攻擊,在隨後的交易中,攻擊者使用已經被盜的資金來避免用閃電貸。
《Coindesk》報導,攻擊者是通過轉移打包型態資產(wrapped assets)來欺騙 Voltage 的智能合約,並通過調用智能合約,將資金從 Voltage 轉移至駭客的錢包地址。
區塊鏈安全公司 PeckShield 則在推特上解釋,由於 Compound 分叉和基於 ERC677/ERC777 的代幣之間的不兼容,這些代幣具有內置的回調函數,被駭客濫用以允許重入,進而耗盡借貸池。
PeckShield 指出,駭客發起攻擊的初始資金來自 TornadoCash, 並通過 Fuse Bridge 傳輸到 Fuse 網路。被盜資金通過 Fuse Bridge 轉移,目前仍停留在駭客地址中。
Ola Finance 承諾,將發布一份關於在所有借貸網路上上架代幣的詳細報告,以確認這種攻擊無法在其他借貸網路上重演,為此,Ola Finance 將調查每個代幣的「轉帳」邏輯,以確保沒有採用有問題的代幣標準,而每一個借貸網路、創建者都將被賦予能力,以在他們的借貸網路上快速暫停鑄造和借用代幣。
Ola Finance 表示,該項目稍後將推出一個補丁,以允許 Compound 分叉安全地上架遵循 ERC677/ERC777 代幣標準的代幣,而在此之前,Fuse 上借貸網路的借貸服務將暫停,一旦補丁經過徹底測試和審計,全面借貸將會恢復。
Ola Finance 透露,在接下來的幾天內,Ola Finance 將發布一份正式的補償計劃,詳細說明向受影響用戶進行補償的資金分配細節。
