Ola Finance exploité pour 3,6 millions de dollars dans une attaque de réentrée

Ola Finance a révélé jeudi avoir été victime d'une faille de sécurité ayant permis à un attaquant de s'emparer de 3,6 millions de dollars de Crypto. L'attaque visait Fuse Lending, qui tentait d'utiliser le protocole de prêt en tant que service d'Ola avec des normes de jetons incompatibles.

Selon PeckShield, une société de sécurité blockchain qui a travaillé avec Ola pour diagnostiquer l'exploit, l'attaquant a profité d'un bug dit de « réentrée » dans ONEun des contrats intelligents d'Ola.

L'attaque survient après la Déclaration de transparence cette semaine d'une Exploit de 625 millions de dollars du réseau Ronin d'Axie Infinity – ONEun des plus grands de la Finance décentralisée (DeFi) historique. Bien que beaucoup plus modeste en comparaison, l'attaque d'Ola rappelle comment les vols de plusieurs millions de dollars – désormais monnaie courante dans la DeFi – continuent de s'accumuler à mesure que des sommes importantes affluent vers des écosystèmes moins connus.

Le protocole DeFi d'Ola fonctionne sur plusieurs blockchains, et l'attaque de jeudi a ciblé son déploiement sur leRéseau de fusibles - un Machine virtuelle Ethereum-blockchain compatible avec une valeur totale verrouillée de seulement 12,8 millions de dollars (TVL) avant l'attaque, selondonnées compilées par DefiLlama.

L'attaquant a commencé par retirer des fonds en utilisantTornade Cash, qui permet aux utilisateurs de transférer des Crypto sans laisser de trace. Après avoir transféré les fonds sur le réseau Fuse, l'emprunteur les a utilisés comme garantie pour contracter des prêts sur la plateforme de prêt décentralisée d'Ola. Exploitant le bug de réentrée, l'attaquant a ensuite pu retirer la garantie sans avoir à rembourser le prêt au préalable.

Le pirate a répété ce processus plusieurs fois sur différents pools Ola. Il a ensuite transféré les fonds drainés vers des portefeuilles surEthereum et Chaîne BNB.

Ola a suspendu l'utilisation de son protocole de prêt sur le réseau Fuse ettweetéqu'il publiera prochainement un « rapport officiel détaillant l'exploit ». Le projet affirme que ses services sur d'autres blockchains n'ont pas été affectés par l'exploit et resteront opérationnels.

Ce n’est pas la première, ni la plus grande attaque de réentrée de mémoire récente.

Un peu plus de deux semaines avant l’attaque d’Ola,deux protocoles de prêt sur la blockchain Gnosis ont subi des exploits similaires. Le DAO attaque en 2016, un exploit tristement célèbre qui a conduit à un Ethereum fourche dure, était également une version d'une attaque de réentrée.

MISE À JOUR (2 avril, 0h41 UTC) : Ajoute des informations pour clarifier la relation entre Fuse Lending et Ola Finance.