Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 090Manipulation d'oracle

Manipulation d'oracle StableV1 de DEUS DAO

DEUS DAO a perdu 13,4 M$ après avoir tarifé le collatéral DEI depuis un pool Solidly DEI/USDC qu'un prêt flash a déplacé, vidant les réserves de prêt.

Date
Victime
DEUS Finance
Chaîne(s)
BNB Chain
Statut
Fonds dérobés

Le 28 avril 2022, DEUS Finance / DEUS DAO a subi son deuxième exploit de 2022 — environ 13,4 millions de dollars drainés lorsqu'un attaquant a manipulé l'oracle de prix pour DEI, le stablecoin du protocole, que DEUS lisait depuis une paire Solidly StableV1 DEI/USDC qu'un prêt flash pouvait déplacer.

Ce qui s'est passé

Les marchés de prêt de DEUS DAO utilisaient DEI comme collatéral. Le protocole tarifait DEI depuis une paire de liquidité Solidly StableV1 DEI/USDC — un pool dont le prix spot était manipulable par quiconque disposant d'assez de capital, ce qu'un prêt flash fournit gratuitement.

L'attaque :

  1. A emprunté de l'USDC en flash pour financer la manipulation.
  2. A déséquilibré la paire StableV1 DEI/USDC en y swappant, poussant le prix DEI rapporté par l'oracle bien au-dessus de sa valeur réelle.
  3. A déposé un montant modeste de DEI comme collatéral sur DEUS — valorisé, au prix manipulé, bien au-delà de sa valeur réelle.
  4. A emprunté les réserves prêtables du protocole contre le collatéral gonflé.
  5. A inversé la manipulation de la paire, remboursé le prêt flash et est reparti avec environ 13,4 M$.

C'était le deuxième incident 2022 de DEUS DAO — un exploit antérieur en mars 2022 avait drainé environ 3 M$ via un vecteur connexe de manipulation d'oracle. Le protocole n'avait pas suffisamment durci ses dépendances d'oracle entre les incidents.

Conséquences

  • DEUS a suspendu les marchés affectés et annoncé des plans d'indemnisation financés par les mécanismes du protocole.
  • L'attaquant a blanchi via Tornado Cash ; aucune récupération publique.
  • DEUS DAO a subi un troisième exploit en mai 2023 (6,5 M$), en faisant l'un des protocoles les plus régulièrement exploités de l'histoire de la DeFi.

Pourquoi c'est important

DEUS DAO est un cas frappant pour la dynamique de fragilité d'incidents répétés. Trois exploits sur 2022-2023, tous impliquant une manipulation d'oracle / de prix du stablecoin DEI ou de pools liés, démontrent l'observation récurrente que la remédiation post-incident focalisée sur le bug spécifique plutôt que sur la cause racine systémique produit des exploits répétés.

La cause racine systémique chez DEUS était constante : tarifer du collatéral critique depuis des pools on-chain manipulables. Après l'incident de mars 2022, celui d'avril 2022 a exploité la même faiblesse fondamentale via un autre pool. Après avril, l'incident de mai 2023 a recommencé. À chaque fois, l'équipe semble avoir patché le chemin de manipulation spécifique plutôt que d'adopter une architecture d'oracle résistante à la manipulation de manière globale.

La leçon est celle que l'ensemble du catalogue répète : l'oracle est la frontière de confiance, et un protocole qui a été exploité par oracle une fois et ne ré-architecture pas exhaustivement ses flux de prix sera exploité par oracle à nouveau. DEUS DAO est l'une des illustrations multi-incidents les plus claires de cette règle.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deus-dao-hack-april-2022
  2. [02]cryptobriefing.comhttps://cryptobriefing.com/defi-hacker-steals-13-4m-deus-finance-attack/
  3. [03]rekt.newshttps://rekt.news/deus-dao-r3kt-two/

Dépôts liés