Points clés
Selon la société de sécurité blockchain PeckShield, le protocole de finance décentralisée Trusted Volumes a perdu environ 5,9 millions de dollars en actifs numériques après qu'un attaquant a exploité une faille critique dans son contrat intelligent.
« Notre analyse montre que le piratage a été causé par une erreur logique au sein de la fonction fillOrder du protocole, permettant à l'attaquant de contourner la vérification de la signature », a déclaré un porte-parole de PeckShield dans un rapport post-mortem. La société de sécurité blockchain SlowMist a également confirmé les détails de l'exploitation.
La valeur totale drainée du fournisseur de liquidité pour le réseau 1inch comprenait 1 291 ETH (3,02 millions de dollars), 16,94 WBTC (1,37 million de dollars), 1,26 million d'USDC et 206 000 USDT. Les données on-chain montrent que l'attaquant a immédiatement commencé à blanchir les fonds, convertissant les stablecoins et le WBTC en 2 513 ETH via une bourse décentralisée.
L'incident met en évidence les risques de sécurité inhérents aux protocoles DeFi de type Request for Quote (RFQ), qui nécessitent de larges autorisations d'utilisateurs pour déplacer des fonds. Bien que le montant ne soit pas une menace systémique, il mine la confiance des utilisateurs et renforce le récit à haut risque entourant les projets DeFi plus petits et moins audités.
Trusted Volumes fonctionne comme un bureau de gré à gré (OTC) décentralisé utilisant un système RFQ, qui facilite les transactions de pair à pair. Dans ce modèle, un « taker » demande une cotation de prix, et un « maker » en fournit une. Les deux parties signent l'ordre, qui est ensuite réglé par un contrat intelligent. La sécurité de l'ensemble de ce système repose sur une vérification impeccable de la signature cryptographique.
L'attaquant a trouvé une vulnérabilité dans la logique de validation de la signature de la fonction fillOrder. Cela lui a permis de forger des ordres de trading sans autorisation appropriée, drainant ainsi les fonds que les utilisateurs avaient autorisé le protocole à gérer. La bourse décentralisée 1inch, qui utilise Trusted Volumes comme fournisseur de liquidité, a confirmé que ses propres systèmes n'étaient pas affectés par la brèche.
Cette exploitation sert de rappel brutal des menaces constantes au sein de l'espace DeFi. À mesure que les attaquants deviennent plus sophistiqués, le besoin d'audits de code rigoureux et de meilleures pratiques de sécurité devient de plus en plus critique pour les protocoles gérant les fonds des utilisateurs.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
