Compromission de clé multi-chaînes de Dego Finance
Une compromission de clé a drainé 10 M$ de Dego Finance sur Ethereum et BNB Chain, vidant les pools et wallets utilisateurs avec approvals actives.
- Date
- Victime
- Dego Finance
- Statut
- Fonds dérobés
Le 10 février 2022, le protocole NFT et DeFi cross-chain Dego Finance a perdu environ 10 millions de dollars lorsqu'un attaquant a compromis des clés privées contrôlant les opérations du protocole sur Ethereum et BNB Chain. L'attaquant a drainé à la fois la liquidité détenue par le protocole et les wallets des utilisateurs ayant accordé des approvals de tokens aux contrats Dego.
Ce qui s'est passé
Dego Finance exploitait des produits NFT et de rendement sur plusieurs chaînes, les opérations privilégiées étant protégées par des clés détenues dans l'infrastructure de signature de l'équipe. L'attaquant a obtenu ces clés — le vecteur de compromission spécifique (malware sur endpoint, phishing, brèche d'infrastructure) n'a pas été détaillé publiquement.
Avec les clés en main, l'attaquant a exécuté un drainage à deux volets :
- Liquidité du protocole : drainage direct des pools de liquidité du token DEGO sur Ethereum et BNB Chain.
- Approvals utilisateurs : pour les utilisateurs ayant accordé aux contrats Dego des approvals illimitées (le pattern standard pour tout protocole DeFi qui déplace des tokens utilisateurs), l'attaquant a utilisé l'accès privilégié compromis pour
transferFromles soldes approuvés de ces utilisateurs vers des adresses contrôlées par l'attaquant.
Le drainage combiné sur les deux chaînes a totalisé environ 10 millions de dollars en actifs mixtes.
Conséquences
- Dego Finance a suspendu les opérations et conseillé à tous les utilisateurs de révoquer immédiatement les approvals de tokens à ses contrats.
- Le token DEGO a chuté fortement à mesure que le marché intégrait la compromission du protocole.
- Aucune récupération publique depuis les wallets de l'attaquant ; les fonds ont été blanchis via les mixers standards.
Pourquoi c'est important
L'incident Dego Finance illustre le pattern récurrent « clé compromise + approvals utilisateurs = double drainage » qui a produit des pertes sur toute l'ère DeFi :
- Furucombo (févr. 2021) — delegatecall vers contrat malveillant drainant les utilisateurs avec approvals.
- Dego Finance (févr. 2022) — compromission de clé drainant à la fois le protocole et les utilisateurs avec approvals.
- Transit Swap (oct. 2022) — validation manquante permettant à n'importe quel appelant de drainer les approvals.
- LI.FI (juil. 2024) — bug de facette drainant les wallets avec approvals infinies.
La leçon structurelle, répétée pendant des années : lorsqu'un protocole détient des approvals de tokens utilisateurs, une compromission des clés privilégiées du protocole est aussi une compromission de chaque utilisateur l'ayant approuvé. Le rayon d'impact d'une compromission de clé n'est pas « la trésorerie du protocole » — c'est « la trésorerie du protocole plus les soldes approuvés de chaque utilisateur approuvant ».
Les réponses défensives — approvals bornées, permits EIP-2612 avec expiration, patterns d'approval par transaction et hygiène régulière de révocation des approvals — existent toutes pour limiter ce rayon d'impact. Les wallets modernes utilisent par défaut des approvals bornées en partie à cause du coût cumulatif d'incidents comme Dego Finance, où des utilisateurs ayant accordé il y a longtemps un « approve illimité » à un protocole qu'ils n'utilisent plus ont été drainés des années plus tard lorsque les clés de ce protocole ont fini par être compromises.
Sources & preuves on-chain
- [01]halborn.comhttps://halborn.com/explained-the-dego-finance-hack-february-2022/
- [02]cryptopotato.comhttps://cryptopotato.com/defi-project-dego-finance-hacked-exploiters-reportedly-drain-over-10m/
- [03]cryptobriefing.comhttps://cryptobriefing.com/bsc-ethereum-defi-projects-hit-14-4m-hack/