Enso révèle des « pools toxiques » qui fabriquent des citations DeFi sur Ethereum et Polygon

ETH-3,19%
CRV-1,91%
UNI-3,56%

La société d’infrastructure DeFi Enso a publié un rapport le 16 juillet révélant une classe de pools de liquidité malveillants qui falsifient systématiquement les devis de prix destinés aux traders de cryptomonnaies. Ces pools, qu’Enso appelle des « pools toxiques », renvoient des cotations attrayantes pendant les simulations de transaction, mais modifient leur comportement lors de l’exécution réelle, amenant les traders à obtenir de moins bons prix ou à voir leurs transactions échouer. Un pool Curve manipulé a déclenché plus de 37 000 trades annulés, forçant les utilisateurs à brûler près de 30 000 dollars en frais de gas. L’exploit cible les systèmes de routage basés sur des simulations que les portefeuilles et les agrégateurs d’échanges décentralisés utilisent pour trouver les meilleurs itinéraires de trading. L’enquête d’Enso a couvert deux mois d’analyses forensiques on-chain sur les blockchains Ethereum et Polygon, identifiant des pools toxiques actifs et poussant l’entreprise à mettre à jour son produit de sécurité Enso Shield avec des capacités de détection dédiées.

Exploit des pools toxiques : décalage entre simulation et exécution

Les pools malveillants exploitent, selon le rapport d’Enso, les simulations « dry-run » off-chain que les portefeuilles utilisent pour prévisualiser les trades. Les contrats détectent lorsqu’ils s’exécutent dans un environnement de simulation en lecture seule et renvoient un prix artificiellement optimisé. Une fois la transaction diffusée on-chain, le pool modifie sa logique mathématique pour exécuter le trade à un taux dégradé.

Milos Costantini, cofondateur et chief product officer chez Enso, a déclaré : « Notre enquête nous amène à croire qu’il ne s’agit pas simplement d’un autre exploit isolé de smart contract. L’industrie a passé des années à optimiser la découverte des prix. Nos résultats suggèrent que le prochain défi est de vérifier l’intégrité de l’exécution. »

Pour rester cachés aux systèmes de sécurité, ces pools alternent entre des états honnêtes et malveillants, rendant inefficaces les scanners de code statiques et les filtres de réputation historiques. Sur Polygon, un « hook » malveillant — un plugin de smart contract utilisé dans des plateformes comme Uniswap v4 — a attiré les systèmes de routage avec de faux taux avant de déclencher un taux d’échec de transaction de 99,1 %.

Enso documente 225 000 dollars de cotations surestimées sur Ethereum

La recherche d’Enso, qui a combiné des données d’archives provenant des nœuds, une analyse des traces de transactions et des inspections de smart contracts, a identifié des pools toxiques actifs opérant sur Ethereum et Polygon. L’équipe a travaillé avec des contacts chez Curve Finance et Oku pendant l’enquête.

Dans un cas d’étude documenté sur Ethereum, un pool Curve manipulé a traité plus de 129 000 swaps. Bien que le pool semblait être l’itinéraire optimal, il a livré une exécution moins favorable que ce qui était annoncé, entraînant environ 225 000 dollars de cotations surestimées.

L’équipe d’Enso a identifié plusieurs contrats d’oracle blockchain déployés par le même opérateur pour prendre en charge des pools supplémentaires. Les résultats posent des défis pour les portefeuilles, les interfaces orientées consommateurs et les agrégateurs qui dépendent de simulations automatisées pour garantir des itinéraires de trade optimaux.

Enso met à jour Shield avec des capacités de détection

Enso a annoncé avoir mis à jour son produit de protection contre l’exécution, Enso Shield, afin d’y inclure une détection dédiée des pools toxiques. L’outil de sécurité est conçu pour contourner les méthodes de simulation standard en analysant le contexte on-chain en direct, en surveillant l’historique des cotations et en utilisant des traces de transaction pour repérer les écarts d’exécution.

Costantini a déclaré : « Si les simulations de transaction peuvent être manipulées alors que la vraie exécution raconte une histoire différente, nous avons besoin de meilleures façons de vérifier ce que les utilisateurs reçoivent réellement. »

Enso a appelé l’ensemble de l’industrie des cryptomonnaies à mener des recherches supplémentaires sur la manipulation des simulations de transaction. Le rapport de l’entreprise met en avant des risques potentiels de responsabilité légale et financière pour les fournisseurs de portefeuilles et les opérateurs d’interfaces qui promettent une « meilleure exécution » mais livrent régulièrement des itinéraires toxiques.

FAQ

Que sont les pools toxiques dans DeFi ?
Les pools toxiques sont des pools de liquidité malveillants qui renvoient des cotations de prix attrayantes pendant les simulations de transaction, mais modifient leur comportement lors de l’exécution réelle, ce qui amène les traders à obtenir de moins bons prix ou à voir leurs transactions échouer.

Combien les utilisateurs ont-ils perdu à cause de l’exploit du pool Curve ?
Un pool Curve manipulé a déclenché plus de 37 000 trades annulés, forçant les utilisateurs à brûler près de 30 000 dollars en frais de gas. Un autre pool Curve a fourni environ 225 000 dollars de cotations surestimées sur plus de 129 000 swaps.

Qu’a fait Enso en réponse aux pools toxiques ?
Enso a mis à jour son produit Enso Shield le 16 juillet afin d’y inclure des capacités de détection dédiées des pools toxiques, qui analysent le contexte on-chain en direct et les traces de transaction pour repérer les écarts d’exécution.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire