La DeFi prise pour cible – Chaque jour, de nouveaux protocoles voient le jour dans l’écosystème DeFi. Dans la plupart des cas, ces protocoles sont issus de fork d’autres protocoles. Malheureusement, des modifications apportées au code engendrent dans certains cas la création de failles critiques.
3,6 millions dérobés à Ola Finance
Ola Finance est un protocole dit de Lending-as-a-Service cross-chain, hébergé sur les blockchains BNB Smart Chain, Fantom, Fuse, Moonbeam et Boba.
En pratique, celui-ci permet à n’importe qui de créer son propre protocole de prêt et d’épargne en un clic.
À l’origine, Ola Finance est issu d’un fork du code du protocole de prêt Compound. De prime abord, il est aisé de penser qu’Ola hérite ainsi de la sécurité de Compound, cependant, certaines modifications du code ont entraîné l’apparition d’une faille critique.
Ainsi, jeudi 31 mars, les équipes de Peckshield ont alerté la communauté Twitter qu’une attaque avait eu lieu sur l’instance d’Ola Finance déployée sur Fuse Network.
Résultat, l’attaquant a réussi à drainer la majeure partie des liquidités déposées dans les pools du protocole. Au total, son butin s’élève à 4,6 millions de dollars et se décompose de la manière suivante :
216 964,18 USDC ;507 216,68 BUSD ;200 000 fUSD ; 550,45 WETH ; 26,25 WBTC ; 1 240 000 FUSE.
De son côté, les pertes enregistrées par le protocole sont encore plus importantes.
En parallèle, Ola Finance a annoncé que la faille n’était, semblerait-il, pas présente sur les instances du protocole déployées sur d’autres blockchains. Des compensations devraient également être annoncées dans les prochains jours :
«Dans les prochains jours, nous publierons un plan de compensation formel détaillant la distribution des fonds aux utilisateurs concernés.»
le Post-Mortem.
>> Jouez la carte de la sécurité. Inscrivez-vous sur PrimeXBT (lien affilié) <<
Reentrancy attack : une impression de déjà-vu
Une fois n’est pas coutume, le mode opératoire ainsi que le type de faille utilisé a déjà été observé à de nombreuses reprises.
Ainsi, l’attaquant a profité de la présence d’une faille dite de reentrancy. En pratique, ces failles permettent à l’attaquant d’effectuer des appels répétés au protocole sans que celui-ci n’actualise correctement le résultat des appels. Dans le cas présent, la faille de reentrancy était présente sur les jetons de type ERC 677.
Notons tout de même qu’un audit avait été réalisé et que des remarques concernant le manque de test vis-à-vis des attaques reentrancy avaient été signalées.
«Manque général de protections contre les reentrancy en dehors des CToken. Bien qu’il n’y ait pas d’autres problèmes de reentrancy possibles, pensez à ajouter des vérification pour être plus prudent.»
détails de l’audit.
Dans un premier temps, l’attaquant a emprunté des fonds en déposant un collatéral sur le protocole. Par la suite, celui-ci a pu retirer son collatéral sans rembourser les fonds empruntés en profitant de la faille reentrancy.
Après l’attaque, les fonds ont été retirés vers les blockchains, BNB Smart Chain et Ethereum. Sur Ethereum, les fonds ont transité par le protocole Tornado Cash dans le but de couvrir les traces de l’attaquant.
C’est la troisième fois ce mois-ci qu’une attaque par reentrancy a eu lieu. En effet, mi-mars, les protocoles Agave et Hundred Finance ont été la cible d’une attaque similaire. Au total, 11,7 millions de dollars ont été dérobés sur les deux protocoles.
Les hacks sont des aléas malheureux mais pas une fatalité … Choisissez un exchange reconnu pour son excellence en matière de sécurité, et inscrivez-vous dès maintenant sur la plateforme PrimeXBT. De plus, vous bénéficiez d’un bonus jusqu’à 7000$ sur votre premier dépôt grâce à notre code 50DEPJDC (lien affilié, voir conditions sur site officiel).
L’article Ola Finance victime d’un crypto casse de 3,6 millions d’euros malgré un audit positif est apparu en premier sur Journal du Coin.
