Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, MasterCard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Pre-IPOs
tag
Accédez à l'intégralité des introductions en bourse mondiales
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
WCTC S8
Récompenses

En dehors du piratage de Resolv, ce type de faille DeFi a déjà été observé quatre fois

BlockBeatNews
Incidents de sécuritéDonnées on-chain
RESOLV-12,35%
DEFI-8,76%
FLUID-3,62%
MORPHO-3,54%

Titre original : La DeFi a déjà vu l’exploitation de 25 millions de dollars USR par Resolv à plusieurs reprises auparavant

Auteur original : Camila Russo, The Defiant

Traduction : Deep潮 TechFlow

Un dimanche matin calme, quelqu’un a transformé 100 000 dollars en 25 millions de dollars en environ 17 minutes.

Cible : le protocole de stablecoins à rendement Resolv. Avant la suspension du contrat de Resolv, son stablecoin USR, lié au dollar, avait chuté à quelques centimes. Au moment de la rédaction, USR reste fortement déstabilisé, avec un prix d’environ 0,25 dollar, en baisse de plus de 70 % cette semaine.

Les répercussions dépassent largement Resolv lui-même. Fluid/Instadapp ont absorbé plus de 10 millions de dollars de créances douteuses en une seule journée, avec un retrait net de plus de 300 millions de dollars le même jour, record historique de sortie quotidienne. 15 coffres Morpho ont été affectés. Euler, Venus, Lista DAO et Inverse Finance ont tous suspendu leurs marchés liés à USR.

Le mécanisme à l’origine de la propagation de cette faille — fixer le prix d’un stablecoin déstabilisé à 1 dollar dans le marché de prêt — n’est pas nouveau. Au cours des 14 derniers mois, cela s’est produit au moins quatre fois.

Comment fonctionne la faille

La création de USR suit un processus hors chaîne en deux étapes : l’utilisateur dépose des USDC via la fonction requestSwap, puis une clé de signature hors chaîne privilégiée SERVICE_ROLE valide la quantité de USR émise via completeSwap.

Le contrat impose une limite minimale de sortie, mais pas de limite maximale. La clé signée par le détenteur de la clé est exécutée telle quelle.

Les attaquants ont obtenu l’accès à cette clé via le service de gestion des clés AWS de Resolv. Ils ont effectué deux dépôts en USDC, totalisant environ 100 000 à 200 000 dollars, puis ont utilisé la clé compromise pour forger 80 millions d’USR en échange. Les données on-chain montrent deux transactions de 50 millions et 30 millions d’USR, toutes deux effectuées en quelques minutes.

« La faille USR de Resolv n’est pas un bug — c’est une fonctionnalité qui fonctionne comme prévu. C’est là tout le problème », explique l’analyste on-chain Vadim (@zacodil).

SERVICE_ROLE est un compte externe ordinaire, sans multisignature. La clé administrateur est protégée par multisignature, mais pas la clé de création.

« Resolv a subi 18 audits », indique Vadim, « dont un s’appelait directement « Absence de limite » ».

Les attaquants ont procédé méthodiquement : d’abord convertir l’USR créé en wstUSR (version stakée), pour atténuer l’impact sur le marché, puis échanger via Curve, Uniswap et KyberSwap contre de l’ETH. Le portefeuille de l’attaquant détient environ 11 400 ETH (environ 24 millions de dollars). Les pools de collatéral en ETH et BTC qui soutiennent tout le système sont restés intacts malgré l’effondrement du stablecoin.

Comment la contagion s’étend

La faille Resolv résulte en réalité de la superposition de deux événements. La première est une faille de création monétaire, la seconde une défaillance en chaîne des marchés de prêt.

Lorsque USR et wstUSR s’effondrent, chaque marché de prêt qui les accepte en tant que collatéral fait face au même problème : leurs oracles continuent de valoriser wstUSR à près de 1 dollar.

Omer Goldberg, fondateur de Chaos Labs, a analysé ce mécanisme. Sa conclusion principale : « L’oracle est codé en dur, il n’a jamais été revalorisé. wstUSR est marqué à 1,13 dollar, alors que son prix de marché tourne autour de 0,63 dollar. »

Les traders achètent wstUSR à bas prix sur le marché ouvert, puis le mettent en garantie sur Morpho ou Fluid en utilisant l’oracle à 1,13 dollar, empruntent des USDC, puis s’en vont.

Chez Fluid, l’équipe a obtenu un prêt à court terme pour couvrir 100 % des créances douteuses, en promettant de compenser intégralement chaque utilisateur. Sur Morpho, le cofondateur Paul Frambot indique qu’environ 15 coffres présentent une exposition importante, tous dans une stratégie de collatéral à risque élevé ou à longue queue.

Le célèbre curateur Gauntlet affirme : « L’exposition de plusieurs coffres à haut rendement est limitée. »

Mais D2 Finance conteste cette affirmation, en publiant des données on-chain montrant que le coffre phare de Gauntlet, « USDC Core », a alloué 4,95 millions de dollars au marché wstUSR/USDC. Goldberg précise ensuite que ce coffre détient 98 % de la liquidité des prêteurs dans ce marché.

Frambot a répondu par écrit à The Defiant : « Nous étudions comment présenter de manière plus complète les différents risques. Mais nous ne pensons pas que le problème central soit le manque d’étiquetage. »

Il ajoute : « Morpho est indépendant de l’oracle, ce qui signifie qu’il permet aux curateurs de choisir n’importe quel oracle qu’ils jugent adapté à un marché spécifique. Morpho est une infrastructure ouverte et sans permission, conçue pour externaliser la gestion des risques aux curateurs. »

« Il est difficile d’imposer des barrières objectives et universelles dans tous les scénarios », explique Frambot, « et imposer des contraintes au niveau du protocole peut aussi entraver la mise en œuvre de stratégies légitimes. »

Bien que le protocole sous-jacent laisse la gestion des risques aux curateurs, certains experts estiment qu’ils n’ont pas toujours rempli leur rôle.

« Je pense que la conception de l’industrie des curateurs est défectueuse, car il n’y a pas de véritable curation », déclare Marc Zeller sur X.

Au moment de la publication, Resolv, Gauntlet et Fluid n’ont pas répondu aux demandes de commentaire de The Defiant.

Un schéma d’échec récurrent

Ce n’est pas une attaque nouvelle. En janvier 2025, le USD0++ de Usual Protocol a été codé en dur à 1 dollar dans le coffre Morpho par le curateur MEV Capital.

Ensuite, Usual a soudainement ajusté le prix de rachat à 0,87 dollar sans avertissement, piégeant les prêteurs dans le coffre MEV Capital, dont le taux d’utilisation a atteint 100 %.

En novembre 2025, la chute de xUSD de Stream Finance a eu lieu, après que le curateur a routé des dépôts USDC dans un cycle de levier soutenu par ce stablecoin synthétique, et lorsque l’oracle a refusé de se mettre à jour, environ 285 millions à 700 millions de dollars d’actifs sur Morpho, Euler et Silo ont été mis en danger.

En octobre et novembre 2025, Moonwell a connu deux défaillances d’oracle successives, générant plus de 5 millions de dollars de créances douteuses.

Ce que cela signifie pour le modèle des curateurs

L’architecture de Morpho externalise toutes les décisions de risque à des « curateurs » tiers, qui construisent les coffres, choisissent les collatéraux, fixent le ratio de prêt et sélectionnent l’oracle. La théorie veut que ces acteurs, en tant que professionnels, disposent d’une expertise approfondie, la concurrence améliorant la gestion des risques, et que le protocole se limite à appliquer les règles.

Mais ces curateurs gagnent des frais en fonction des rendements générés, ce qui crée une incitation à accepter des collatéraux plus risqués et plus rémunérateurs (comme les stablecoins à rendement). Le problème, c’est que lorsque ces stablecoins se déstabilisent, la perte est supportée par les déposants, pas par le curateur.

Dans l’incident Resolv, certains robots automatisés de curateurs ont continué à injecter des fonds dans les coffres affectés plusieurs heures après la découverte de la faille, aggravant ainsi les pertes.

L’utilisation d’oracles codés en dur pour les stablecoins vise à éviter que de petites fluctuations n’entraînent des liquidations inutiles. Mais cette protection n’est efficace que si le stablecoin reste stable.

L’analyste on-chain Chainalysis a indiqué, lors de son analyse rétrospective, qu’il faut une capacité de détection en temps réel sur la chaîne.

« Les contrats intelligents on-chain fonctionnent parfaitement. Le problème réside clairement dans la conception plus large du système et l’infrastructure hors chaîne », a déclaré l’analyste.

Lien original

Cliquez pour découvrir BlockBeats, la plateforme de recrutement de l’industrie

Rejoignez la communauté officielle de BlockBeats :

Groupe Telegram abonnés : https://t.me/theblockbeats

Groupe Telegram général : https://t.me/BlockBeats_App

Compte Twitter officiel : https://twitter.com/BlockBeatsAsia

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.

Articles similaires

Critiqué pour un gel trop lent de l’USDC ! Le PDG de Circle : il faudra forcément attendre l’ordre du tribunal pour geler, refus de geler de manière unilatérale

USDC newsPartenariats & ÉcosystèmeRéglementation et politiquesMesures d’applicationIncidents de sécurité

Circle Le PDG Jeremy Allaire indique que, sauf si la société reçoit une ordonnance du tribunal ou une exigence d’application de la loi, elle ne gèlera pas volontairement des adresses de portefeuille. Même face à des controverses de blanchiment d’argent impliquant des pirates informatiques et à des critiques de la communauté, Circle continue d’insister sur le respect des principes de l’État de droit pour fonctionner. Jeremy Allaire fixe la ligne rouge de l’application de la loi chez Circle ----------------------------- Alors que le marché mondial des crypto-monnaies connaît une agitation croissante, le PDG de l’émetteur de stablecoins Circle, Jeremy Allaire, lors d’une conférence de presse à Séoul en Corée du Sud, a exprimé une position claire sur la question la plus sensible pour le marché : « le gel d’actifs ». Il a indiqué que, bien que Circle dispose de moyens techniques permettant de geler des adresses de portefeuille spécifiques, sauf si la société reçoit une ordonnance du tribunal ou une instruction officielle des autorités d’application de la loi, elle ne

CryptoCityIl y a 1h

Attaquant Exploitant la Vulnérabilité de Polkadot Ponté Transfère $269K vers Tornado Cash

Mesures d’applicationIncidents de sécuritéDonnées on-chain

Le 15 avril, Arkham a rapporté que l’attaquant ayant exploité une vulnérabilité de Bridged Polkadot avait transféré environ 269 000 $ de fonds volés vers Tornado Cash, compliquant le suivi des actifs.

GateNewsIl y a 2h

Des développeurs de Bitcoin proposent le BIP 361 pour se protéger contre les menaces liées à l’informatique quantique

bitcoin newsRéglementation et politiquesIncidents de sécurité

Les développeurs de Bitcoin ont proposé le BIP 361 afin de protéger le réseau contre les risques liés aux ordinateurs quantiques en gelant les adresses vulnérables. La proposition inclut un plan par étapes pour faire passer les utilisateurs à des portefeuilles résistants aux attaques quantiques, mais elle a déclenché un débat sur le contrôle des utilisateurs et la sécurité.

GateNewsIl y a 2h

Des pirates exploitent le plugin Obsidian pour diffuser le cheval de Troie PHANTOMPULSE avec un C2 basé sur la blockchain

Incidents de sécurité

Les laboratoires Elastic Security ont révélé que des acteurs malveillants se sont fait passer pour des sociétés de capital-risque sur LinkedIn et Telegram afin de déployer un RAT Windows nommé PHANTOMPULSE, en utilisant des coffres de notes Obsidian pour mener des attaques, ce que Elastic Defend a réussi à bloquer.

GateNewsIl y a 3h

Le portefeuille chaud Zerion perd $100K lors d’une attaque d’ingénierie sociale pilotée par l’IA par des pirates liés à la Corée du Nord

GéopolitiqueMesures d’applicationIncidents de sécuritéActualités de l’industrie de l’IA

Zerion a confirmé une récente attaque d’ingénierie sociale pilotée par l’IA menée par des pirates nord-coréens, entraînant une perte de 100 000 $ provenant de portefeuilles chauds d’entreprise. Les fonds des utilisateurs restent en sécurité et l’entreprise a pris des mesures de précaution. Ceci fait suite à une autre attaque majeure contre le protocole Drift.

GateNewsIl y a 3h

CoW Swap interrompt le protocole après un détournement DNS qui vide au moins $1M des fonds des utilisateurs

Incidents de sécuritéRisque lié à l’exchange

CoW Swap a suspendu son protocole après une usurpation DNS qui a redirigé les utilisateurs vers un site frauduleux, entraînant plus de $1 millions de dollars de vol de cryptomonnaies. L’incident a conduit à des mesures de précaution et à des avertissements aux utilisateurs, tandis que des mesures de sécurité ont été mises en place.

GateNewsIl y a 5h
Commentaire
0/400
Aucun commentaire