Aller au contenu
Fondé MMXXVIVol. VI · № 310RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 310Bug de smart contract

Exploit du vault CLS de Cascade

Un attaquant a drainé environ 1,34 M$ en USDC du vault CLS de Cascade, un protocole de perpétuels soutenu par Polychain sur Arbitrum.

Date
Victime
Cascade
Chaîne(s)
Statut
Fonds dérobés

Le 16 juillet 2026, Cascade — un protocole de perpétuels non encore lancé et soutenu par Polychain sur Arbitrum — a été exploité pour environ 1,34 million de dollars lorsqu'un attaquant a drainé des USDC de son vault de liquidité CLS, touchant des dépôts que les utilisateurs avaient bloqués avant le lancement public de la plateforme.

Ce qui s'est passé

Cascade avait levé une ronde d'amorçage de 15 millions de dollars menée par Polychain et Variant en décembre 2025 et se trouvait encore en phase sur invitation. Sa CLS (Cascade Liquidity Strategy) est décrite dans la documentation du protocole comme le moteur de liquidité natif conçu pour soutenir la profondeur du carnet d'ordres et les flux de liquidation. Avant le lancement public, des utilisateurs d'une campagne sur invitation baptisée « First Wave » avaient prédéposé des USDC sur Arbitrum dans le vault CLS pour gagner des points de récompense — des fonds bloqués jusqu'au démarrage du trading, de sorte que les déposants concernés n'avaient aucun moyen de retirer avant l'attaque. Cascade a confirmé un exploit affectant le vault CLS ayant drainé environ 1,34 million d'USDC de fonds d'utilisateurs ; la cause racine précise au niveau du contrat n'avait pas été entièrement divulguée au moment de la publication. L'attaquant a ensuite déplacé le butin d'une chaîne à l'autre, passant d'Arbitrum à Solana puis vers Ethereum via le Relay Protocol, en le convertissant en DAI en chemin — un schéma de blanchiment privilégié car le DAI ne peut être gelé par un émetteur central comme Circle peut inscrire des adresses USDC sur liste noire.

Conséquences

Comme les dépôts CLS drainés étaient préalloués et bloqués, la perte est tombée directement sur les premiers participants de First Wave plutôt que sur la liquidité de trading active. Au moment de la publication, les fonds volés n'avaient pas été récupérés, et la conversion en DAI via Solana rendait un gel ou une récupération improbable. L'incident a immédiatement jeté une ombre sur le lancement public prévu de Cascade et soulevé des questions sur l'audit de sécurité d'un vault détenant du capital d'utilisateurs avant même que la plateforme ne soit en ligne.

Pourquoi c'est important

Cascade est survenu à peine un jour après Ostium, une autre plateforme de perpétuels d'Arbitrum mise en pause après un exploit d'oracle — deux coups sur la même chaîne et le même secteur en 48 heures. Il souligne un thème récurrent du catalogue : les vaults d'avant-lancement et de farming d'incitations concentrent le capital des utilisateurs dans des contrats qui n'ont pas encore subi de pression adverse réelle, ce qui en fait des cibles précoces attrayantes. La route de blanchiment inter-chaînes d'USDC vers DAI via Solana reflète la voie de sortie de l'exploit de Summer.fi quelques jours plus tôt, montrant comment les attaquants se standardisent de plus en plus sur des actifs non gelables pour verrouiller leurs gains avant que les efforts de récupération puissent commencer.

Sources & preuves on-chain

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/07/16/polychain-backed-cascade-hacked-for-1-34m-in-locked-user-funds/
  2. [02]protos.comhttps://protos.com/more-oracle-exploits-as-ostium-loses-over-20m/

Dépôts liés