la crypto pour tous
Rejoindre
A
A

Blockchain : Fuse Lending subit un piratage de 4,6 millions de dollars dont 26.25 wrapped bitcoin (BTC)

lun 04 Avr 2022 ▪ 5 min de lecture ▪ par Alexis P.

Fuse Lending, une mise en œuvre du protocole de prêt Ola Finance, a été victime d’un piratage le 31 mars sur le réseau Fuse. Le pirate a empoché environ 4,6 millions de dollars en actifs divers, majoritairement en ethers (ETH) et en bitcoins (BTC).

Hacker man in dark using computer to hack data and information system

L’attaque sur Fuse Lending

Fuse Lending, Inc. (« FUSE ») est une filiale à part entière de Globe Fintech Innovations, Inc. (faisant affaire sous le nom de « Mynt »). Fuse Lending est un établissement de crédit agréé qui s’adresse à la population mal desservie et non bancarisée des Philippines. Elle vise à créer et à maintenir des opportunités de croissance et de stabilité pour les particuliers comme pour les entreprises, grâce à des prêts responsables et axés sur les technologies financières.

Fuse Lending est réglementé par la Securities and Exchange Commission (SEC) des Philippines. Et se conforme entièrement à ses règles et règlements.

Le 1er avril, le protocole de prêt décentralisé Ola Finance a révélé, sur Twitter et medium, avoir subi une attaque qui a permis à des pirates de s’emparer de nombreuses cryptomonnaies d’une valeur de 4,6 millions de dollars sur la plateforme.

fuse lending bitcoin
source: twitter

L’attaque s’est produite par le biais d’une vulnérabilité de réentrance dans la norme de token ERC677. La réentrance est un bug courant qui permet aux attaquants de tromper un contrat intelligent en effectuant des appels répétés à un protocole afin de voler des actifs. Un appel est une autorisation pour l’adresse du contrat intelligent d’interagir avec l’adresse du portefeuille d’un utilisateur.

On peut lire sur medium :

« Vers 5 heures du matin le 31 mars (UTC +3), le réseau de prêt Ola sur la blockchain Fuse a été exploité pour 216 964,18 USDC, 507 216,68 BUSD, 200 000,00 fUSD, 550,45 WETH, 26,25 WBTC et 1 240 000,00 FUSE. La valeur volée s’élève à ~4,67 millions de dollars au cours actuel des ETH, BTC et FUSE ». Tout savoir sur les wrapped tokens ici.

Révélant ensuite les adresses sur la Fuse Chain, Ethereum, BNB chain que vous pouvez retrouver sur leur medium.

Dans la même journée, BAYC (Bored Ape Yacht Club) a été victime d’un hack Discord.

Détail de l’attaque

Ola finance a pu diviser en 6 étapes l’attaque contre son service :

1. L’attaquant a transféré des WETH de C1 à C2.

2. L’attaquant a mint oWETH à C2 (en transférant WETH au contrat oWETH).

3. L’attaquant a emprunté XXX token à C2 à partir du contrat oXXX.

4. Comme XXX est un ERC677, une fonction de rappel a été appelée sur C2 pendant le transfert de XXX de oXXX à C2. Dans ce callback, l’attaquant a transféré le oWETH de C2 à C1. Cela a été possible parce que l’état qui met à jour le solde d’emprunt de C2 (et qui empêcherait le transfert de l’oWETH) n’était pas encore mis à jour.

5. Comme C1 n’avait pas de solde d’emprunt, il pouvait racheter les oWETH en WETH.

6. L’attaquant s’est retrouvé avec les WETH utilisés comme garantie pour emprunter le token XXX et le token XXX qu’il a emprunté.

Les prochaines étapes

Ola finance travaille sur plusieurs points. Tout d’abord tracer et identifier tous les tokens « à problème ». Actuellement il est impossible d’emprunter et de prêter des tokens afin de laisser le temps aux équipes d’identifier toutes les failles.

Finalement, on peut lire sur medium : « Dans les prochains jours, nous publierons un plan de compensation formel détaillant la distribution des fonds aux utilisateurs concernés. Ce plan sera accompagné d’articles supplémentaires décrivant plus en détail les « prochaines étapes » que nous prendrons. Nous remercions nos partenaires pour leur soutien dans l’analyse de cette attaque et pour nous avoir aidés à trouver une solution rapide. »

Ce n’est pas un drôle de poisson d’avril pour les investisseurs ou pour Ola Finance, mais ce sont les risques et les réalités de la DeFi. Toujours faire attention et diversifier ses investissements et les sites de DeFi ou même de CeFi. Comme dit l’adage, ne pas mettre tous ces œufs dans le même panier.

Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.



Rejoindre le programme
A
A
Alexis P. avatar
Alexis P.

Observateur de la révolution monétaire, économique et sociale.

DISCLAIMER

Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.