Blockchain : Fuse Lending subit un piratage de 4,6 millions de dollars dont 26.25 wrapped bitcoin (BTC)

Fuse Lending, une mise en œuvre du protocole de prêt Ola Finance, a été victime d’un piratage le 31 mars sur le réseau Fuse. Le pirate a empoché environ 4,6 millions de dollars en actifs divers, majoritairement en ethers (ETH) et en bitcoins (BTC).

L’attaque sur Fuse Lending

Fuse Lending, Inc. (« FUSE ») est une filiale à part entière de Globe Fintech Innovations, Inc. (faisant affaire sous le nom de « Mynt »). Fuse Lending est un établissement de crédit agréé qui s’adresse à la population mal desservie et non bancarisée des Philippines. Elle vise à créer et à maintenir des opportunités de croissance et de stabilité pour les particuliers comme pour les entreprises, grâce à des prêts responsables et axés sur les technologies financières.

Fuse Lending est réglementé par la Securities and Exchange Commission (SEC) des Philippines. Et se conforme entièrement à ses règles et règlements.

Le 1er avril, le protocole de prêt décentralisé Ola Finance a révélé, sur Twitter et medium, avoir subi une attaque qui a permis à des pirates de s’emparer de nombreuses cryptomonnaies d’une valeur de 4,6 millions de dollars sur la plateforme.

L’attaque s’est produite par le biais d’une vulnérabilité de réentrance dans la norme de token ERC677. La réentrance est un bug courant qui permet aux attaquants de tromper un contrat intelligent en effectuant des appels répétés à un protocole afin de voler des actifs. Un appel est une autorisation pour l’adresse du contrat intelligent d’interagir avec l’adresse du portefeuille d’un utilisateur.

On peut lire sur medium :

« Vers 5 heures du matin le 31 mars (UTC +3), le réseau de prêt Ola sur la blockchain Fuse a été exploité pour 216 964,18 USDC, 507 216,68 BUSD, 200 000,00 fUSD, 550,45 WETH, 26,25 WBTC et 1 240 000,00 FUSE. La valeur volée s’élève à ~4,67 millions de dollars au cours actuel des ETH, BTC et FUSE ». Tout savoir sur les wrapped tokens ici.

Révélant ensuite les adresses sur la Fuse Chain, Ethereum, BNB chain que vous pouvez retrouver sur leur medium.

Dans la même journée, BAYC (Bored Ape Yacht Club) a été victime d’un hack Discord.

Détail de l’attaque

Ola finance a pu diviser en 6 étapes l’attaque contre son service :

1. L’attaquant a transféré des WETH de C1 à C2.

2. L’attaquant a mint oWETH à C2 (en transférant WETH au contrat oWETH).

3. L’attaquant a emprunté XXX token à C2 à partir du contrat oXXX.

4. Comme XXX est un ERC677, une fonction de rappel a été appelée sur C2 pendant le transfert de XXX de oXXX à C2. Dans ce callback, l’attaquant a transféré le oWETH de C2 à C1. Cela a été possible parce que l’état qui met à jour le solde d’emprunt de C2 (et qui empêcherait le transfert de l’oWETH) n’était pas encore mis à jour.

5. Comme C1 n’avait pas de solde d’emprunt, il pouvait racheter les oWETH en WETH.

6. L’attaquant s’est retrouvé avec les WETH utilisés comme garantie pour emprunter le token XXX et le token XXX qu’il a emprunté.

Les prochaines étapes

Ola finance travaille sur plusieurs points. Tout d’abord tracer et identifier tous les tokens « à problème ». Actuellement il est impossible d’emprunter et de prêter des tokens afin de laisser le temps aux équipes d’identifier toutes les failles.

Finalement, on peut lire sur medium : « Dans les prochains jours, nous publierons un plan de compensation formel détaillant la distribution des fonds aux utilisateurs concernés. Ce plan sera accompagné d’articles supplémentaires décrivant plus en détail les « prochaines étapes » que nous prendrons. Nous remercions nos partenaires pour leur soutien dans l’analyse de cette attaque et pour nous avoir aidés à trouver une solution rapide. »

Ce n’est pas un drôle de poisson d’avril pour les investisseurs ou pour Ola Finance, mais ce sont les risques et les réalités de la DeFi. Toujours faire attention et diversifier ses investissements et les sites de DeFi ou même de CeFi. Comme dit l’adage, ne pas mettre tous ces œufs dans le même panier.