Ola Finance Yeniden Giriş Saldırısında 3,6 Milyon Dolarlık Sömürüldü

Merkezi olmayan borç verme protokolü Ola Finance Perşembe günü yaptığı açıklamada, bir saldırganın 3,6 milyon dolar değerinde kripto ele geçirmesine izin veren bir istismara maruz kaldığını duyurdu.

İstismarı teşhis etmek için Ola ile birlikte çalışan bir blockchain güvenlik firması olan PeckShield’e göre, saldırgan, Ola’nın akıllı sözleşmelerinden birinde sözde “yeniden giriş” hatasından yararlandı.

Saldırı, merkezi olmayan finans (DeFi) tarihinin en büyüklerinden biri olan Axie Infinity’nin Ronin ağının bu haftaki 625 milyon dolarlık istismarının açıklanmasından sonra geldi. Karşılaştırıldığında çok daha küçük olsa da, Ola saldırısı, daha az bilinen ekosistemlere büyük para akarken, şimdi DeFi’de yaygın olan milyonlarca dolarlık hırsızlıkların nasıl birikmeye devam ettiğinin bir hatırlatıcısı olarak duruyor.

Ola’nın DeFi protokolü birkaç blok zincirinde çalışıyor ve Perşembe günkü saldırı, DefiLlama tarafından derlenen verilere göre, saldırıdan önce yalnızca 12,8 milyon dolar değerinde kilitli (TVL) olan Ethereum Sanal Makinesi uyumlu bir blok zinciri olan Fuse ağında dağıtımını hedef aldı.

Saldırgan, kullanıcıların iz bırakmadan kripto transfer etmelerini sağlayan Tornado Cash kullanarak para çekerek başladı. Fonları Fuse ağına aktardıktan sonra, borçlu bunları Ola’nın merkezi olmayan kredi platformunda kredi almak için teminat olarak kullandı. Saldırgan, yeniden giriş hatasından yararlanarak, önce krediyi geri ödemeden teminatı kaldırabildi.

Bilgisayar korsanı, bu işlemi farklı Ola havuzlarında birkaç kez tekrarladı. Daha sonra boşaltılan fonları Ethereum ve BNB Chain üzerindeki cüzdanlara aktardılar.

Ola, Fuse ağındaki borç verme protokolünün kullanımını durdurdu ve yakında “istismarı detaylandıran resmi bir rapor” yayınlayacağını tweetledi. Proje, diğer blok zincirlerindeki hizmetlerinin istismardan etkilenmediğini ve çalışmaya devam edeceğini söylüyor.

Bu, son hafızadaki ilk veya en büyük yeniden giriş saldırısı değil.

Ola saldırısından iki haftadan biraz daha uzun bir süre önce, Gnosis blok zincirindeki iki borç verme protokolü benzer istismarlara maruz kaldı. Ethereum hard fork’una yol açan kötü şöhretli bir istismar olan 2016’daki DAO saldırısı, aynı zamanda bir yeniden giriş saldırısının bir versiyonuydu.