Réentrance du Rebalancer Clober DEX
Une réentrance dans le chemin withdraw du Rebalancer Clober sur Base a permis de réentrer avant la fixation comptable LP, drainant 500 K$.
- Date
- Victime
- Clober DEX
- Chaîne(s)
- Statut
- Partiellement récupéré
Le 10 décembre 2024, le DEX à carnet d'ordres sur Base Clober a perdu environ 500 000 dollars via une réentrance dans le chemin withdraw du contrat Rebalancer. Le contrat exécutait un transfert externe avant de finaliser la comptabilité LP, permettant à l'attaquant de réentrer withdraw et d'extraire de la liquidité disproportionnée.
Ce qui s'est passé
Le Rebalancer de Clober gérait les positions LP. Son withdraw envoyait les actifs avant de mettre à jour la comptabilité des parts LP ; un contrat attaquant a réentré withdraw pendant le transfert, retirant à répétition contre des soldes périmés jusqu'à ce que la position soit drainée (~500 K$).
Conséquences
- Clober a mis en pause le Rebalancer ; récupération partielle via négociation.
- Patché avec l'ordre checks-effects-interactions et une garde de réentrance.
Pourquoi c'est important
Clober est un rappel de fin 2024 que la lignée réentrance dépôt/retrait — de The DAO (2016) à Grim, Penpie, et au-delà — ne vieillit pas. De nouvelles chaînes (Base) et de nouveaux mécanismes (rebalancers de DEX à carnet d'ordres) continuent de recréer les conditions du plus ancien bug parce que la surface d'attaque se déplace vers où le code le plus récent se trouve, et le code le plus récent est écrit par des équipes qui connaissent la leçon dans l'abstrait mais la réintroduisent dans le concret. Garde de réentrance + CEI sur chaque chemin déplaçant de la valeur, sans exception, reste la réponse huit ans après.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-clober-dex-hack-december-2024
- [02]certik.comhttps://www.certik.com/resources/blog/clober-dex-incident-analysis
- [03]rekt.newshttps://rekt.news/cloberdex-rekt