Accueil
Actualités
Détails

Vulnérabilité Oracle Hardcodée DeFi se répète pour la quatrième fois en 14 mois

iconTechFlow
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
Des incidents d'exploitation DeFi liés à des vulnérabilités d'oracle codées en dur se sont produits quatre fois en 14 mois, selon TechFlow. Le dernier a touché Resolv, où un attaquant a utilisé une clé privilégiée pour émettre 80 millions de jetons USR, provoquant un effondrement de la valeur et le chaos sur les marchés de Fluid, Morpho et Euler. La faille provient du modèle de curateur, où les déposants supportent des risques tandis que les curateurs obtiennent des récompenses. Des nouvelles similaires sur des vulnérabilités ont émergé en 2025 avec Usual Protocol, Stream Finance et Moonwell.

Auteur : The Defiant

Traduction : Deep潮 TechFlow

Guide de Shenchao : Cet article ne se contente pas de revoir la vulnérabilité de Resolv, mais aborde un sujet encore plus inquiétant : le même modèle d'attaque — un oracule codé en dur qui valorise une stablecoin désancrée à 1 dollar — s'est produit au moins quatre fois au cours des 14 derniers mois. Le problème n'est pas une faille technique, mais une structure d'incitation intrinsèquement défectueuse du modèle curator : les risques sont assumés par les déposants, tandis que les gains sont captés par les curators.

Le texte complet est le suivant :

Un dimanche matin calme, quelqu'un a transformé 100 000 dollars en 25 millions de dollars en environ 17 minutes.

L'objectif est le protocole de stablecoin générant des revenus, Resolv. Avant la suspension du contrat de Resolv, son stablecoin pegué au dollar, l'USR, était tombé à quelques cents. Au moment de la rédaction de cet article, l'USR reste fortement désancré et échangé à environ 0,25 $, soit une baisse de plus de 70 % cette semaine.

L’onde de choc dépasse largement Resolv lui-même. Fluid/Instadapp a absorbé plus de 10 millions de dollars de créances douteuses en une seule journée, tout en subissant un retrait net dépassant 300 millions de dollars, soit son plus grand retrait quotidien historique. Quinze coffres Morpho ont été affectés. Euler, Venus, Lista DAO et Inverse Finance ont tous suspendu successivement leurs marchés liés à l’USR.

image

Le mécanisme ayant conduit à la propagation des pertes lors de cette faille — le fait de valoriser les stablecoins désancrés à 1 dollar sur le marché de prêt — n'est pas nouveau. Au cours des 14 derniers mois, cette situation s'est produite au moins quatre fois.

Comment les vulnérabilités fonctionnent

La création de USR suit un processus hors chaîne en deux étapes : l'utilisateur dépose des USDC via la fonction `requestSwap`, puis une clé de signature hors chaîne privilégiée `SERVICE_ROLE` finalise le nombre de USR émis via `completeSwap`. Le contrat impose une limite minimale de sortie, mais pas de limite maximale. Ce que la clé détenteur signe, le contrat exécute.

Les attaquants ont obtenu l'accès à la clé via le service de gestion des clés AWS de Resolv. Ils ont effectué deux dépôts USDC d'un montant total d'environ 100 000 à 200 000 dollars, puis ont utilisé la clé volée pour autoriser la création de 80 millions d'USR en contrepartie. Les données sur la chaîne montrent que les deux transactions correspondent respectivement à 50 millions d'USR et 30 millions d'USR, toutes deux créées en quelques minutes.

« Le vulnérabilité Resolv USR n'est pas un bug — c'est une fonctionnalité qui fonctionne comme prévu. C'est là le problème », déclare l'analyste chainé Vadim (@zacodil).

SERVICE_ROLE est une adresse de compte externe ordinaire, pas un multisig. Les clés d'administrateur sont protégées par multisig, mais les clés de frappe ne le sont pas.

"Resolv a subi 18 audits," dit Vadim, "dont l'un des problèmes découverts s'appelait directement 'Absence de limite supérieure'."

L'attaquant a quitté le système de manière méthodique : il a d'abord converti les USR frappés en wstUSR (la version stakée et emballée) pour atténuer l'impact sur le marché, puis a échangé ces fonds contre de l'ETH via Curve, Uniswap et KyberSwap. Le portefeuille de l'attaquant contient environ 11 400 ETH (environ 24 millions de dollars américains). Les pools de garanties en ETH et BTC qui soutiennent l'ensemble du système sont restés intacts pendant l'effondrement du stablecoin.

Comment la contagion se propage

La vulnérabilité Resolv est en réalité la combinaison de deux événements : la première est une vulnérabilité de frappe de pièces, et la seconde est la défaillance du marché de prêt en chaîne.

Lorsque l'USR et le wstUSR ont chuté, chaque marché de prêt et d'emprunt acceptant ces actifs comme garantie a fait face au même problème : ses oracles continuaient à évaluer le wstUSR à environ 1 dollar.

Le fondateur de l'agence d'analyse des risques Chaos Labs, Omer Goldberg, a documenté ce mécanisme. Sa découverte principale est : « Les oracles sont codés en dur, donc jamais réévalués. wstUSR est coté à 1,13 $, alors qu'il est négocié à environ 0,63 $ sur le marché secondaire. »

Les traders achètent wstUSR à bas prix sur le marché ouvert, puis l'utilisent comme garantie sur Morpho ou Fluid pour emprunter des USDC selon le prix oracle de 1,13 $, avant de quitter la position.

Chez Fluid, l'équipe a obtenu un prêt à court terme pour couvrir 100 % des créances douteuses et s'est engagée à rembourser intégralement chaque utilisateur. Chez Morpho, le cofondateur Paul Frambot a indiqué qu'environ 15 coffres présentaient une exposition importante, tous liés à des stratégies de collatéral à longue traîne et à haut risque.

Le célèbre curator Gauntlet a déclaré que « l'exposition à plusieurs coffres à haut rendement est limitée. »

Mais D2 Finance a directement contredit cette affirmation, en publiant des données chain-on montrant que le trésor phare de Gauntlet, « USDC Core », a alloué 4,95 millions de dollars au marché wstETH/USDC. Goldberg a ensuite déclaré que les trésors de Gauntlet représentaient 98 % de la liquidité des prêteurs sur ce marché.

Frambot a déclaré à The Defiant en réponse écrite : « Nous avons constamment étudié la manière de présenter plus globalement les différents risques. Toutefois, nous ne pensons pas que le problème fondamental ici soit le manque d'étiquetage. »

Frambot a ajouté : « Morpho est indépendant des oracles, ce qui permet aux curateurs de choisir n'importe quel oracle qu'ils jugent le plus adapté au marché spécifique. Morpho est une infrastructure ouverte et sans autorisation, conçue pour externaliser la gestion des risques aux curateurs. »

"It is difficult to enforce objective 'correct' guardrails in all scenarios," said Frambot, "and imposing constraints at the protocol level also carries the risk of hindering legitimate strategies."

Bien que le protocole sous-jacent laisse la gestion des risques aux curateurs, certains acteurs du secteur estiment que les curateurs n'ont pas rempli leurs responsabilités.

« Je pense que le modèle de l'industrie des curator est défectueux, car il n'y a tout simplement pas de véritable curatage. » a déclaré Marc Zeller sur X.

Au moment de la rédaction, Resolv, Gauntlet et Fluid n'ont pas répondu à la demande de commentaire de The Defiant.

Un modèle d'échec récurrent

Ce n'est pas une nouvelle attaque. En janvier 2025, l'USD0++ de Usual Protocol a été codé en dur à 1 dollar par le curator MEV Capital dans le coffre Morpho. Usual a ensuite ajusté brusquement le prix de rachat à 0,87 dollar sans aucune alerte, piégeant les prêteurs dans le coffre MEV Capital, dont l'utilisation a grimpé à 100 %.

En novembre 2025, le xUSD de Stream Finance a connu un effondrement après que le curator ait acheminé les dépôts USDC dans un cycle de levier soutenu par cette stablecoin synthétique ; lorsque son oracle a refusé de se mettre à jour, entre 285 millions et 700 millions de dollars d'actifs sur Morpho, Euler et Silo ont été mis en péril. Moonwell a subi deux défaillances consécutives d'oracle en octobre et novembre 2025, entraînant des créances douteuses dépassant 5 millions de dollars.

Que signifie ce modèle de curator ?

L'architecture de Morpho externalise toutes les décisions de risque à des « curateurs » tiers, qui construisent les coffres, choisissent les actifs de garantie, fixent le ratio de prêt sur valeur et sélectionnent les oracles. Cette théorie repose sur l'idée que les institutions spécialisées possèdent une expertise plus approfondie, et que la concurrence favorise une meilleure gestion des risques, tandis que le protocole se charge d'exécuter les règles.

Mais les curator gagnent des frais en fonction des rendements générés, ce qui crée une incitation à accepter des actifs garantis à risque plus élevé et à rendement plus élevé, comme les stablecoins de rendement. Le problème est que, lorsque ces stablecoins se désancrent, les pertes sont supportées par les déposants, et non par les curator. Lors de l'événement Resolv, certains robots automatisés des curator ont continué à injecter des fonds dans les caisses affectées pendant plusieurs heures après la découverte de la vulnérabilité, aggravant ainsi les pertes.

L'utilisation d'un oracule codé en dur pour les stablecoins à rendement vise à empêcher des fluctuations à court terme de déclencher des liquidations inutiles. Toutefois, cette protection n'est efficace que si le stablecoin reste stable.

L'analyse chain-based Chainalysis a déclaré, dans son analyse postérieure, qu'une capacité de détection en temps réel sur la chaîne était nécessaire.

« Le contrat intelligent sur chaîne fonctionne parfaitement. Le problème provient clairement de la conception plus large du système et de l'infrastructure hors chaîne », a déclaré l'agence d'analyse.

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.