Comme une impression de déjà-vu – Le protocole DeFi Origin Protocol a été victime d’une attaque. Re-entrancy et flash loan : la recette habituelle a fait mouche et l’attaquant s’en est sorti avec 7 millions de dollars.
On ne change pas une équipe qui perd
Le 17 novembre, le CEO d’Origin Protocol, Matthew Liu, a publié un message sur le blog officiel du projet annonçant une attaque ayant ciblé son protocole dollarisé.
« L’Origin Dollar (OUSD) a été piraté. L’équipe est à pied d’œuvre pour tenter de déterminer quelle vulnérabilité a été exploitée, et comment le pirate a pu accéder aux dépôts des utilisateurs. »
Au total, l’attaquant a réussi à siphonner 7 millions de dollars. Parmi ces 7 millions, 1 million appartenaient aux fondateurs du protocole et les 6 millions restants à la communauté.
Flash loan et attaque re-entrancy : le duo gagnant… à tous les coups ?
Une fois n’est pas coutume, cette attaque n’a rien de particulièrement spectaculaire ou d’innovant.
En effet, le combo flash loan et attaque re-entrancy a été, encore une fois, un franc succès, comme pour la très récente attaque du protocole Value DeFi .
Pour rappel, une attaque re-entrancy (ou de ré-entrée) est une faille qui permet d’exécuter plusieurs fois une fonction d’un smart contract, ce qui entraîne des incohérences dans les comptes de ce dernier. Ce type d’attaque permet bien souvent de siphonner des fonds stockés sur un contrat, encore, et encore… et encore.
« L’attaquant a exploité un contrôle de validation manquant lors de la création des jetons OUSD pour créér aussi une fausse version de ce “stablecoin”, directement sous son contrôle. Ce “stablecoin” a ensuite appelé la fonction “transferFrom” sur le coffre-fort, permettant au pirate d’exploiter le contrat avec une attaque de ré-entrée, [pour siphonner le coffre en question] au [pretexte] de la création des jetons. »
Communiqué d’Origin Protocol
Après avoir retracé les fonds, les équipes d’Origin Protocol ont remarqué que l’attaquant avait eu recours à Tonardo Cash et à renBTC pour déplacer et blanchir les fonds.
Malgré tout, le wallet de l’attaquant dispose toujours de 2,2 millions de DAI et de 7 137 ETH qui n’ont pas encore été blanchis.
Les équipes du protocole ont annoncé explorer activement toutes les pistes pour récupérer les fonds. Si, par malheur, ils ne venaient pas à être récupérés, Origin Protocol s’engage à discuter d’un plan de compensation pour ses utilisateurs.
