Le protocole de prêt décentralisé DeFi Ola Finance a annoncé jeudi 31 mars 2022 avoir subi une attaque qui a permis à un hacker de s’emparer de 3,6 millions de dollars en crypto-monnaies.
PeckShield, société de sécurité blockchain qui a travaillé avec le protocole DeFi Ola Finance pour diagnostiquer la faille, le pirate aurait profité d’un bug dit de “reentrancy*” dans l’un des smart-contract du protocole
.Cette attaque intervient après la divulgation, cette semaine, d’une autre attaque, qui avait causé la perte de 625 millions de dollars sur le réseau Ronin d’Axie Infinity, l’une des attaques les plus importantes de l’histoire de la finance décentralisée (DeFi).
Bien que beaucoup plus petite en comparaison, l’attaque d’Ola rappelle que les vols de plusieurs millions de dollars – désormais courants dans le domaine de la finance décentralisée – continuent de s’accumuler à mesure que les grosses sommes d’argent affluent vers des écosystèmes moins connus.
Le protocole DeFi d’Ola Finance fonctionne sur plusieurs blockchains, et l’attaque de jeudi a ciblé son déploiement sur le réseau Fuse – une blockchain compatible avec la machine virtuelle Ethereum avec seulement 12,8 millions de dollars en valeur totale bloquée (TVL) avant l’attaque, selon les données compilées par DefiLlama. L’attaquant a commencé par retirer des fonds en utilisant Tornado Cash, qui permet aux utilisateurs de transférer des crypto-monnaies sans laisser de trace. Après avoir transféré les fonds sur le réseau Fuse, il les a utilisés comme garantie pour contracter des prêts sur la plateforme de prêt décentralisée. Profitant du bug de “reentrancy*”, l’attaquant a ensuite pu retirer la garantie sans rembourser le prêt au préalable.
We will soon be publishing an official report detailing the exploit that occurred on the @voltfinance Lending Network and the plan for recourse.
Thank you to @peckshield for providing swift coverage and helping us analyze the root of the exploit.
Read Primer 🧵: https://t.co/UDU10C2YSa
— Ola.finance (@ola_finance) March 31, 2022
Le pirate a répété ce processus plusieurs fois sur différents pools. Il a ensuite transféré les fonds drainés vers des portefeuilles sur Ethereum et BNB Chain.
Ola Finance a mis en pause l’utilisation de son protocole de prêt sur le réseau Fuse et a tweeté qu’il publierait bientôt un “rapport officiel détaillant la faille.” Le projet affirme toutefois que ses services sur d’autres blockchains n’ont pas été affectés par l’exploit et resteront opérationnels.
Rappelons que ce n’est pas la première ni la plus grande attaque de “reentrancy*” ces derniers temps et qu’un peu plus de deux semaines avant cette attaque, deux protocoles de prêt sur la blockchain Gnosis ont subi des attaques similaires.
L’attaque DAO en 2016, un exploit tristement célèbre qui a conduit à un hard fork d’Ethereum, était également une version d’une attaque de “reentrancy”.
*Réentrecy : l’attaque dite “reetrancy” sont des attaques dans lequel le pirate lance un ordre, le stoppe avant la finalisation de celui ci et le relance ensuite de manière indéfinie, ce qui peux par exemple permettre de contracté de multiples retraits sur un compte qui ne dispose que d’une seule autorisation, le principe de la pièce de monnaie accrochée a un fil dans un distributeur de boissons est à peu près similaire.