Fausse collatéralisation / Rug de Defrost Finance

Le 23 décembre 2022, Defrost Finance sur Avalanche a perdu environ 12 millions de dollars lorsqu'une action privilégiée du propriétaire a ajouté un token de collatéral malveillant et fixé un prix manipulé, déclenchant la liquidation massive de toutes les positions utilisateurs au profit de l'attaquant. La compromission était un problème de clé owner (vol ou insider). Après négociation, la plupart des fonds ont été restitués.

Ce qui s'est passé

Le rôle owner de Defrost pouvait ajouter des types de collatéraux et des oracles. Un token de collatéral malveillant avec un prix fixé par l'attaquant a été ajouté ; le protocole a ensuite liquidé chaque position contre lui, transférant le collatéral utilisateur à l'attaquant (~12 M$). Suite à la pression publique et à la négociation, l'essentiel a été restitué.

Pourquoi c'est important

Defrost combine deux piliers du catalogue : le contrôle propriétaire-privilégié des collatéraux/oracles (Fortress) et l'ambiguïté compromission de clé vs insider (Grand Base). La règle structurelle : le pouvoir d'ajouter un type de collatéral et son prix est le pouvoir de liquider l'ensemble du protocole — cette autorité doit être verrouillée par timelock et protégée par multi-sig, jamais par une action unique du propriétaire. La récupération quasi totale en fait l'un des meilleurs dénouements du catalogue, mais la conception — à un seul appel privilégié de la perte totale — est la leçon durable.