去中心化金融協議Ola Finance 遭受了重入攻擊,其協議中損失了價值約360 萬美元的加密貨幣。
區塊鏈安全公司PeckShield 發布了一份披露文件,分析並診斷了該漏洞。據該安全公司稱,該漏洞利用是通過重入攻擊完成的,在該攻擊中,威脅行為者利用了Ola Finance 智能合約中的漏洞,導致協議的去中心化借貸平台在不知不覺中向攻擊者提供基於假質押品的貸款。威脅行為者使用Tornado Cash 提取資金,這是一種匿名協議,允許用戶在不留痕蹟的情況下執行轉賬。
一旦Tornado Cash 的資金轉移到Ola Finance 運營的Fuse 網絡,就會製作假質押品,並從Ola 的去中心化借貸平台中取出貸款。利用Ola Finance 智能合約的重入漏洞,攻擊者在不支付貸款的情況下迅速移除了質押品。
這是針對去中心化金融(DeFi) 平台的一系列攻擊中的最新一次,緊隨其後的是另一次攻擊,其中Axie Infinity 的Ronin 側鏈被利用了大約6.25 億美元。對DeFi 平台的一連串攻擊導致人們重新關注安全性,一些專家呼籲加強對智能合約代碼的審查。
1/2 站在一起,@ola_finance 和@voltfinance 團結一致,努力補償遭受最新漏洞利用的用戶。所有項目都承擔責任,並要求我們的社區專注於下一步的發展,而不是推卸責任。
— Ola.finance (@ola_finance) 2022 年3 月31 日
攻擊後,攻擊者重複相同的程序並對其他幾個Ola Finance 流動性礦池執行攻擊,迅速將被盜資金轉移到以太坊和幣安的BNB 鏈上。
作為回應,Ola Finance 已暫停其在Fuse 網絡上的借貸協議,並聲稱將提供一份官方報告,詳細解釋漏洞利用的情況。
對Ola Finance 進行的重入利用凸顯了DeFi 協議中安全性的重要性,以及在合約代碼方面需要進行更多的盡職調查。隨著去中心化金融的不斷普及,我們可能會在未來幾個月和幾年內看到更多的漏洞利用和黑客攻擊。 PeckShield 敦促所有DeFi 開發人員仔細查看他們的代碼,並確保採取適當的安全措施來保護他們的用戶。
免責聲明:本文僅供參考。它不是提供或打算用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權歸作者所有,未經許可,不得轉載