Uno strumento del protocollo di prestito Ola Finance è stato hackerato su Fuse Network portando al furto di ben 3,6 milioni di dollari
All’interno di Fuse Lending, un’implementazione del protocollo Ola Finance, si è introdotto un hacker sfruttando un bug noto come “reentrancy bug”.
Un “reentrancy bug” è quel particolare exploit che permette ad un hacker di prelevare il denaro di un utente attraverso chiamate ripetute al protocollo sfruttando una vulnerabilità dello smart contract.
È di qualche settimana fa la notizia di altri due grandi protocolli DeFi hackerati sfruttando un bug all’interno degli smart contract di Hundred Finance e Agave, protocolli che viaggiano sulla Gnosis Chain. In questo caso il bottino portato a casa dai malviventi si aggirava intorno agli 11 milioni di dollari.
Bug nello smart contract di Fuse Lending
Secondo quanto riportato dalla società di sicurezza PeckShield, il malintenzionato hacker avrebbe prelevato i fondi utilizzando il proprio collaterale. Nell’ambiente dei prestiti cripto il collaterale è il bene in criptovaluta che il mutuatario impegna come garanzia che il prestito sarà rimborsato.
In seguito, approfittando di quella che viene chiamata “reentrancy vulnerability” presente negli smart contract di Fuse Lending, l’hacker ha prelevato il collaterale senza però rimborsare il prestito.
Con questo trucco l’hacker ha “spazzolato” per bene altre pool di Fuse Lending per poi portare a casa un bottino di 3,6 milioni di dollari. Successivamente ha preso tutto il maltolto e lo ha smistato su altre due blockchain più sicure, BNB Chain e Ethereum, grazie al bridge cross-chain permesso da Fuse. Alla fine l’hacker si è trovato con 3 milioni di dollari su Ethereum e altri 637.000 dollari sulla BNB Chain.
Il protocollo di prestito si è preso una pausa per riuscire a conteggiare adeguatamente il danno e Ola Finance ha promesso un rapporto investigativo completo sull’accaduto. La società dichiara che gli altri servizi di prestito che lavorano su blockchain diverse non sono stati oggetto del furto.