Le 29 septembre 2020, le projet de jeu DeFi non publié Eminence — construit par Andre Cronje, créateur de Yearn Finance — a été drainé d'environ 15 millions de dollars dans une attaque par prêt flash sur les mécaniques de token bonding-curve. Cronje avait explicitement déclaré que le projet était « à au moins trois semaines » d'être terminé, pourtant 15 M$ ont afflué dans les heures suivant la publication de teasers artistiques. L'attaquant a ensuite restitué 8 millions de dollars au fonds développeur de Yearn.
Ce qui s'est passé
L'approche typique « expédier tôt, itérer publiquement » de Cronje signifiait que ses contrats déployés apparaissaient souvent on-chain bien avant le lancement prévu. Pour Eminence — un projet d'économie de jeu sans site web, sans documentation et sans annonce publique de lancement — Cronje avait simplement déployé une version en cours du contrat de token EMN sur Uniswap, vraisemblablement pour des tests.
La communauté crypto a remarqué le déploiement, identifié la signature de Cronje et s'est précipitée quand même — déposant environ 15 millions de dollars de stablecoins dans le bonding curve EMN en quelques heures, sous l'hypothèse que l'implication de Cronje garantissait une éventuelle capture de valeur.
Le bonding curve n'avait pas été audité. L'attaque était, selon les propres mots de Cronje, « très simple » :
- Mint beaucoup d'EMN à l'extrémité serrée du bonding curve (prix par token bas à offre basse).
- Burn les EMN fraîchement mintés via une fonction parallèle en échange d'une devise différente que le contrat tarifait plus haut.
- Revendre les fonds reçus contre de l'EMN pour mint davantage, récursivement.
- Répéter jusqu'à ce que la totalité des 15 M$ aient été extraits.
Drainage net : ~15 M$ dans le wallet de l'attaquant. Le prix d'EMN s'est effondré à près de zéro.
Conséquences
- Une portion de l'attaquant — possiblement le même individu, possiblement un white-hat différent — a restitué 8 M$ à un fonds développeur contrôlé par Yearn en quelques heures.
- Cronje a déclaré qu'il distribuerait les 8 M$ récupérés aux déposants originaux sur la base d'un snapshot pré-hack.
- Cronje a publiquement adressé l'incident et réitéré son approche « tester en production », attirant de larges critiques de la communauté sécurité.
- Eminence n'a jamais été lancé comme produit fini.
Pourquoi c'est important
Eminence est l'étude de cas fondatrice pour « les degens se précipitant dans des contrats non publiés » comme mode d'échec récurrent en DeFi. L'empressement de la communauté à front-runner les éventuels lancements de Cronje a créé des pertes non forcées répétées de 2020 à 2022 :
- Eminence (sept. 2020) — 15 M$ dans un bonding curve inachevé.
- CR Finance v0 d'Iron Bank (début 2021) — pattern similaire avec des pertes plus petites.
- De multiples contrats taggés Cronje sur Fantom et Avalanche ont reçu des millions en dépôts avant les lancements officiels.
La leçon plus profonde et moins charitable que la communauté n'a que partiellement absorbée : le nom d'un développeur célèbre sur un contrat ne constitue ni un audit, ni un lancement, ni une garantie de sécurité. La réputation de Cronje était — par sa propre conception — une marque qui attirait du capital plus vite que sa revue de sécurité ne pouvait suivre. Eminence a été la première instance majeure ; cela n'a pas été la dernière.
Sources & preuves on-chain
- [01]theblock.cohttps://www.theblock.co/post/79061/yfi-eminence-defi-protocol-exploited
- [02]decrypt.cohttps://decrypt.co/43203/hackers-drain-15-million-from-unreleased-yearn-finance-project
- [03]cryptotips.euhttps://cryptotips.eu/en/news/bizarre-15-million-eminence-hack-an-unfinished-project-by-andre-cronje/