Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 137Bug de smart contract

Mint du stablecoin DEI de DEUS DAO

Le troisième incident de DEUS DAO a drainé 6,5 M$ sur BNB, Arbitrum et Ethereum via une faille dans la logique burnFrom/approval de DEI.

Date
Victime
DEUS Finance
Chaîne(s)
BNB ChainArbitrumEthereum
Statut
Fonds dérobés

Le 5 mai 2023, DEUS Finance / DEUS DAO a subi son troisième exploit majeur en environ quatorze mois — environ 6,5 millions de dollars drainés sur BNB Chain, Arbitrum et Ethereum via une faille dans la logique burnFrom/allowance du contrat du stablecoin DEI.

Ce qui s'est passé

Le contrat du stablecoin DEI de DEUS contenait une vulnérabilité dans la façon dont il gérait burnFrom et les allowances. La faille spécifique permettait à l'attaquant de manipuler la relation entre les allowances enregistrées et les soldes de sorte qu'il pouvait extraire de la valeur du contrat DEI et des pools associés sur les trois chaînes où DEI était déployé.

L'attaque a drainé le plus gros montant sur BNB Chain (~5,45 M$), avec des montants plus petits sur Arbitrum et Ethereum. DEI a dépeg fortement lorsque l'extraction non couverte a frappé le marché.

C'était, indubitablement, le troisième incident de DEUS DAO :

  • Mars 2022 (~3 M$) — manipulation d'oracle.
  • Avril 2022 (13,4 M$) — manipulation d'oracle Solidly StableV1.
  • Mai 2023 (6,5 M$) — faille burnFrom/allowance du contrat DEI.

Conséquences

  • DEUS a suspendu les contrats affectés et annoncé (à nouveau) un plan d'indemnisation.
  • Le peg de DEI n'a pas été durablement rétabli ; la crédibilité du protocole a été effectivement épuisée par le troisième incident.
  • Les fonds volés ont été blanchis via des routes cross-chain et Tornado Cash.

Pourquoi c'est important

DEUS DAO est l'étude de cas la plus claire du catalogue en matière de fragilité multi-incidentstrois exploits majeurs sur deux ans, chacun via un mécanisme spécifique différent mais tous reflétant la même réalité systémique : une équipe dont la remédiation post-incident a répétitivement traité le bug spécifique plutôt que le déficit de sécurité systémique.

La leçon récurrente des protocoles à incidents répétés (DEUS trois fois, Cream Finance trois fois en 2021, Abracadabra trois fois en 2024-2025, ALEX Lab deux fois) est constante :

Le premier exploit est une donnée. Le deuxième est un pattern. Le troisième est un verdict. Un protocole qui a été exploité deux fois et qui est exploité une troisième fois démontre que sa culture de sécurité, et non un bug individuel, est le problème — et à ce stade, la confiance utilisateur continue est, empiriquement, déplacée.

La trajectoire de DEUS DAO — bug d'oracle, bug d'oracle, bug de contrat stablecoin, chacun « corrigé », chacun suivi d'un autre — est l'illustration canonique que la vélocité de livraison sans investissement correspondant en culture de sécurité produit une séquence prévisible d'incidents, et que la volonté du marché de continuer à déposer après le deuxième incident est l'une des irrationalités récurrentes et coûteuses de la DeFi.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deus-dao-hack-may-2023
  2. [02]crypto.newshttps://crypto.news/deus-finance-hacked-over-6m-dei-stablecoin-stolen/
  3. [03]rekt.newshttps://rekt.news/deus-dao-r3kt/

Dépôts liés