La DeFi prise pour cible – Chaque jour, de nouveaux protocoles voient le jour dans l’écosystème DeFi. Dans la plupart des cas, ces protocoles sont issus de fork d’autres protocoles. Malheureusement, des modifications apportées au code engendrent dans certains cas la création de failles critiques.
3,6 millions dérobés à Ola Finance
Ola Finance est un protocole dit de Lending-as-a-Service cross-chain, hébergé sur les blockchains BNB Smart Chain, Fantom, Fuse, Moonbeam et Boba.
En pratique, celui-ci permet à n’importe qui de créer son propre protocole de prêt et d’épargne en un clic.
À l’origine, Ola Finance est issu d’un fork du code du protocole de prêt Compound. De prime abord, il est aisé de penser qu’Ola hérite ainsi de la sécurité de Compound, cependant, certaines modifications du code ont entraîné l’apparition d’une faille critique.
Ainsi, jeudi 31 mars, les équipes de Peckshield ont alerté la communauté Twitter qu’une attaque avait eu lieu sur l’instance d’Ola Finance déployée sur Fuse Network.
Résultat, l’attaquant a réussi à drainer la majeure partie des liquidités déposées dans les pools du protocole. Au total, son butin s’élève à 4,6 millions de dollars et se décompose de la manière suivante :
- 216 964,18 USDC ;
- 507 216,68 BUSD ;
- 200 000 fUSD ;
- 550,45 WETH ;
- 26,25 WBTC ;
- 1 240 000 FUSE.
De son côté, les pertes enregistrées par le protocole sont encore plus importantes.
En parallèle, Ola Finance a annoncé que la faille n’était, semblerait-il, pas présente sur les instances du protocole déployées sur d’autres blockchains. Des compensations devraient également être annoncées dans les prochains jours :
«Dans les prochains jours, nous publierons un plan de compensation formel détaillant la distribution des fonds aux utilisateurs concernés.»
le Post-Mortem.
Reentrancy attack : une impression de déjà-vu
Une fois n’est pas coutume, le mode opératoire ainsi que le type de faille utilisé a déjà été observé à de nombreuses reprises.
Ainsi, l’attaquant a profité de la présence d’une faille dite de reentrancy. En pratique, ces failles permettent à l’attaquant d’effectuer des appels répétés au protocole sans que celui-ci n’actualise correctement le résultat des appels. Dans le cas présent, la faille de reentrancy était présente sur les jetons de type ERC 677.
Notons tout de même qu’un audit avait été réalisé et que des remarques concernant le manque de test vis-à-vis des attaques reentrancy avaient été signalées.
«Manque général de protections contre les reentrancy en dehors des CToken. Bien qu’il n’y ait pas d’autres problèmes de reentrancy possibles, pensez à ajouter des vérification pour être plus prudent.»
détails de l’audit.
Dans un premier temps, l’attaquant a emprunté des fonds en déposant un collatéral sur le protocole. Par la suite, celui-ci a pu retirer son collatéral sans rembourser les fonds empruntés en profitant de la faille reentrancy.
Après l’attaque, les fonds ont été retirés vers les blockchains, BNB Smart Chain et Ethereum. Sur Ethereum, les fonds ont transité par le protocole Tornado Cash dans le but de couvrir les traces de l’attaquant.
C’est la troisième fois ce mois-ci qu’une attaque par reentrancy a eu lieu. En effet, mi-mars, les protocoles Agave et Hundred Finance ont été la cible d’une attaque similaire. Au total, 11,7 millions de dollars ont été dérobés sur les deux protocoles.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).
