Ola Finance exploitée pour 3,6 millions de dollars dans une attaque de réentrée

Ola Finance a révélé jeudi avoir subi un exploit qui a permis à un attaquant de récupérer 3,6 millions de dollars de Crypto. L'attaque visait Fuse Lending, qui tentait d'utiliser le protocole de prêt en tant que service d'Ola avec des normes de jetons incompatibles.

Selon PeckShield , une société de sécurité blockchain qui a travaillé avec Ola pour diagnostiquer l'exploit, l'attaquant a profité d'un bug dit de « réentrée » dans ONEun des contrats intelligents d'Ola.

L'attaque intervient après la Déclaration de transparence cette semaine d'un exploit de 625 millions de dollars du réseau Ronin d'Axie Infinity – ONEun des plus importants de l'histoire de la Finance décentralisée ( DeFi ). Bien que beaucoup plus petite en comparaison, l’attaque d’Ola rappelle à quel point les vols de plusieurs millions de dollars – désormais monnaie courante dans DeFi – continuent de s’accumuler à mesure que de grosses sommes d’argent affluent vers des écosystèmes moins connus.

Le protocole DeFi d'Ola fonctionne sur plusieurs blockchains, et l'attaque de jeudi visait son déploiement sur le réseau Fuse – une blockchain compatible avec la machine virtuelle Ethereum avec une valeur totale verrouillée ( TVL ) de seulement 12,8 millions de dollars avant l'attaque, selon les données compilées par DefiLlama .

L'attaquant a commencé par retirer des fonds à l'aide de Tornado Cash , qui permet aux utilisateurs de transférer des Crypto sans laisser de trace. Après avoir transféré les fonds vers le réseau Fuse, l'emprunteur les a utilisés comme garantie pour contracter des prêts sur la plateforme de prêt décentralisée d'Ola. Profitant du bug de réentrée, l’attaquant a alors pu retirer la garantie sans rembourser au préalable le prêt.

Le pirate informatique a répété ce processus plusieurs fois sur différents pools Ola. Ils ont ensuite transféré les fonds drainés vers des portefeuilles sur Ethereum et BNB Chain .

Ola a suspendu l'utilisation de son protocole de prêt sur le réseau Fuse et a tweeté qu'elle publierait bientôt un « rapport officiel détaillant l'exploit ». Le projet affirme que ses services sur d'autres blockchains n'ont pas été affectés par l'exploit et resteront opérationnels.

Ce n’est pas la première, ni la plus grande attaque de réentrée de mémoire récente.

Un peu plus de deux semaines avant l’attaque d’Ola, deux protocoles de prêt sur la blockchain Gnosis ont subi des exploits similaires. L'attaque DAO de 2016, un exploit notoire qui a conduit à un hard fork Ethereum , était également une version d'une attaque de réentrée.

MISE À JOUR (2 avril, 0h41 UTC) : ajoute des informations pour clarifier la relation entre Fuse Lending et Ola Finance.

Disclosure

Veuillez noter que notre politique de confidentialité, conditions d'utilisation, cookies, et ne pas vendre mes informations personnelles a été mise à jour.

CoinDesk est un primé média qui couvre l'industrie de la cryptomonnaie. Ses journalistes respectent un ensemble strict de politiques éditoriales. En novembre 2023, CoinDesk a été acquis par le groupe Bullish, propriétaire de Bullish, une bourse d'actifs numériques réglementée. Le groupe Bullish est majoritairement détenu par Block.one; les deux sociétés ont des intérêts dans diverses entreprises de blockchain et d'actifs numériques ainsi que des avoirs importants en actifs numériques, y compris le bitcoin. CoinDesk opère en tant que filiale indépendante avec un comité éditorial pour protéger l'indépendance journalistique. Les employés de CoinDesk, y compris les journalistes, peuvent recevoir des options dans le groupe Bullish dans le cadre de leur rémunération.