去中心化借贷协议 Ola Finance 3 月 31 日在 Fuse 链上遭遇骇客攻击，导致价值超过 467 万美元的加密货币被盗。 Ola Finance 表示，将寻求与骇客接触，以提供赏金的方式，让攻击者返还资金，并承诺将在未来数日发布一份正式的补偿计划，详细说明向受影响用户进行补偿的资金分配细节。前情提要：史上最大Defi窃案！Axie Infinity侧链 Ronin 遭骇62亿美金，SBF 证实赃款流入FTX

去中心化借贷协议 Ola Finance 3 月 31 日在 Fuse 链上遭遇骇客攻击，Ola Finance 今日发布事后剖析报告指出，共有价值超过 467 万美元的加密货币被盗，包括 21696418 颗 USDC、50721668 颗 BUSD、200000 颗 fUSD、55045 颗 WETH、2625 颗 WBTC和 124000000 颗 FUSE。

Ola Finance 表示，正在与 Fuse 团队和其他外部方紧密合作，以追踪攻击者、并推出一个补偿受影响用户的计划，Ola Finance 将寻求与攻击者接触，以提供赏金的方式，让攻击者返还资金，而补偿计划的全部细节将在一切都尘埃落定后公布。

骇客攻击原因

Ola Finance 在事后剖析报告中指出，此次攻击是由于一个 ERC677 标准中的可重入漏洞，导致骇客耗尽了借贷池。可重入性是一个常见的 bug，允许攻击者通过重复调用协议来欺骗智能合约，以窃取资产。

在第一次抢劫交易中，攻击者从去中心化交易协议 Voltage Finance 上的 WETHWBTC 交易对，获得了一笔 515 颗 WETH 的闪电贷来资助攻击，在随后的交易中，攻击者使用已经被盗的资金来避免用闪电贷。

《Coindesk》报导，攻击者是通过转移打包型态资产wrapped assets来欺骗 Voltage 的智能合约，并通过调用智能合约，将资金从 Voltage 转移至骇客的钱包地址。

区块链安全公司 PeckShield 则在推特上解释，由于 Compound 分叉和基于 ERC677/ERC777 的代币之间的不兼容，这些代币具有内置的回调函数，被骇客滥用以允许重入，进而耗尽借贷池。

PeckShield 指出，骇客发起攻击的初始资金来自 TornadoCash， 并通过 Fuse Bridge 传输到 Fuse 网路。被盗资金通过 Fuse Bridge 转移，目前仍停留在骇客地址中。

Ola Finance 下一步

Ola Finance 承诺，将发布一份关于在所有借贷网路上上架代币的详细报告，以确认这种攻击无法在其他借贷网路上重演，为此，Ola Finance 将调查每个代币的转帐逻辑，以确保没有采用有问题的代币标准，而每一个借贷网路、创建者都将被赋予能力，以在他们的借贷网路上快速暂停铸造和借用代币。

Ola Finance 表示，该项目稍后将推出一个补丁，以允许 Compound 分叉安全地上架遵循 ERC677/ERC777 代币标准的代币，而在此之前，Fuse 上借贷网路的借贷服务将暂停，一旦补丁经过彻底测试和审计，全面借贷将会恢复。

Ola Finance 透露，在接下来的几天内，Ola Finance 将发布一份正式的补偿计划，详细说明向受影响用户进行补偿的资金分配细节。

相关报导

LINE 与 Messenger 不定期为大家服务