Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 230Manipulation d'oracle

Vidage de Loopscale deux semaines après le lancement

Loopscale sur Solana a perdu 5,8 M$ 16 jours après le lancement via manipulation de l'oracle PT de RateX. Tous les fonds restitués pour une prime de 10%.

Date
Victime
Loopscale
Chaîne(s)
Solana
Statut
Récupéré

Le 26 avril 2025, le protocole de prêt DeFi basé sur Solana Loopscale a subi un exploit de 5,8 millions de dollars — environ 12% de ses 40 M$ de TVL — seulement 16 jours après son lancement du 10 avril. L'attaquant a manipulé le prix de l'oracle des jetons PT de RateX pour contracter des prêts sous-collatéralisés. Après négociation, l'attaquant a accepté une prime de 10% et a restitué tous les fonds, entraînant aucune perte pour les utilisateurs.

Ce qui s'est passé

La plateforme de prêt de Loopscale acceptait divers jetons DeFi Solana comme garantie, dont les jetons PT de RateX — des wrappers Plasma Token utilisés par RateX, un protocole de rendement à taux fixe. La logique de tarification des prêts pour les jetons PT dépendait de lectures d'oracle dérivant les prix de l'état sous-jacent de RateX.

La faille fatale : les fonctions de tarification des jetons PT pouvaient être manipulées via des séquences d'appels spécifiques qui ne déclenchaient pas les vérifications de solvabilité de Loopscale. L'attaquant :

  1. A manipulé l'oracle des jetons PT de RateX via des changements d'état affectant la logique de dérivation du prix.
  2. A déposé les jetons PT à valeur manipulée comme garantie sur Loopscale.
  3. A emprunté de vrais actifs (USDC, SOL) contre la valorisation gonflée de la garantie.
  4. Est parti sans rembourser, laissant Loopscale avec une garantie valant moins que les prêts qu'elle adossait.

Total extrait : 5,7 M USDC + 1 200 SOL = environ 5,8 M$.

Conséquences

  • Loopscale a mis en pause toutes les opérations de prêt et de retrait en quelques heures.
  • L'équipe a envoyé des messages on-chain à l'attaquant proposant une prime de bug de 10% en échange de l'immunité de poursuites.
  • L'attaquant a accepté l'offre et a restitué les fonds volés à l'adresse de récupération de Loopscale.
  • Aucune perte d'utilisateur — les opérations ont repris avec une logique d'oracle PT corrigée.

Pourquoi c'est important

L'incident de Loopscale est une étude de cas frappante sur la rapidité avec laquelle un protocole DeFi fraîchement lancé devient une cible. L'exploit s'est produit 16 jours après le lancement, lorsque :

  • Le protocole avait accumulé ~40 M$ de TVL et plus de 7 000 prêteurs — assez de capital pour rendre l'opération rentable.
  • La base de code était encore en itération active, avec de nouvelles fonctionnalités ajoutées régulièrement.
  • Les procédures de réponse aux incidents de l'équipe n'avaient pas été éprouvées en production.

Les leçons structurelles :

  1. Les nouveaux protocoles sont attaqués de manière disproportionnée dans leurs 30 premiers jours post-lancement. La combinaison de code frais, de TVL en accumulation et de réponse aux incidents immature crée une cible à haute valeur et faible défense. Les attaquants surveillent explicitement cette fenêtre.

  2. Les dépendances d'oracle sur des jetons relativement nouveaux (comme les PT de RateX) héritent des propriétés de sécurité du sous-jacent — la logique de dérivation du prix du jeton PT était la véritable surface d'attaque, pas le calcul de prêt de Loopscale.

  3. Le résultat de 10% de prime / 100% de récupération devient de plus en plus le schéma de règlement dominant pour les exploits DeFi de taille moyenne. La logique économique pour l'attaquant — un paiement de prime est sans risque, des fonds blanchis sont risqués — pousse vers cette résolution tant que l'attaquant est rationnel et non identifiable.

La réponse de Loopscale — pause immédiate, négociation transparente on-chain, récupération complète en quelques jours — a établi un standard crédible pour la façon dont un protocole en petite équipe peut gérer un incident grave sans détruire la confiance des utilisateurs. La transparence ultérieure de l'équipe sur la cause technique racine (publication de post-mortems détaillés) est devenue une pratique standard pour les protocoles souhaitant maintenir leur crédibilité après un exploit.

Sources & preuves on-chain

  1. [01]cryptoninjas.nethttps://www.cryptoninjas.net/news/solanas-loopscale-suspends-lending-after-5-8m-exploit/
  2. [02]halborn.comhttps://www.halborn.com/blog/post/explained-the-loopscale-hack-april-2025
  3. [03]theblock.cohttps://www.theblock.co/post/352083/solana-defi-protocol-loopscale-hit-with-5-8-million-exploit-two-weeks-after-launch

Dépôts liés