Ola Finance, çalıştığı çok sayıdaki blok zincirlerinden biri olan Fuse Network’te bugün bir hacker saldırısına uğradı ve tahminen 3,6 milyon dolar değerinde varlıkları çalındı.
Olay, ‘yeniden giriş hatası’ olarak bilinen yaygın bir güvenlik açığı nedeniyle yaşandı. Bu, bilgisayar korsanlarının varlıkları çalmak için, bir protokole tekrar tekrar çağrı yapmalarını sağlayan bir akıllı sözleşme güvenlik açığıdır. Bundan birkaç hafta önce, Gnosis Chain’deki iki DeFi protokolü – Hundred Finance ve Agave – yeniden giriş hatalarından kaynaklanan hızlı kredi saldırılarında 11 milyon dolardan fazla müşteri fonunu kaybetmişti.
Hacker yine o güvenlik açığından faydalandı
Güvenlik firması PeckShield’e göre saldırgan, önce kendi teminatlarını kullanarak ödünç fonlar aldı. Ardından, Ola’nın akıllı sözleşmelerindeki ‘yeniden giriş’ güvenlik açığından yararlanan hacker, aldığı krediyi geri ödemeden teminatını çekmeyi başardı. Daha sonra aynı işlemi diğer Ola Finance havuzlarında da tekrarlayarak toplamda 3,6 milyon dolarlık vurgun yaptı.
1/ The @ola_finance is exploited in a flurry of txs, leading to the gain of ~$3.6M for the hacker (the protocol loss is larger). Here is an example hack tx: https://t.co/9JfnBr9pfL
— PeckShield Inc. (@peckshield) March 31, 2022
Saldırgan çaldığı fonları, Fuse’un çapraz zincir köprüsü aracılığıyla diğer blok zincirlerine (BNB ve Ethereum) aktardı. Failin Ethereum’da 3 milyon dolar ve BNB Zincirinde 637 bin dolar tuttuğu bildiriliyor.
Ola Finance, olayı hala araştırdığını ve yakında bir rapor yayınlayacağını açıkladı. Ola’nın Fuse Network’teki merkezi olmayan ürünleri, zararın kontrol edilmesi için askıya alınırken, diğer blok zincirlerindeki borç verme hizmetlerinin olaydan etkilenmediği bildirildi.