Aller au contenu
Fondé MMXXVIVol. VI · № 301RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 296Bug de smart contract

Exploit de la comptabilité des pools de mySwap via un faux jeton

Un attaquant a émis un jeton EVIL sans valeur pour fausser la comptabilité des pools de liquidité concentrée de mySwap sur Starknet et a drainé environ 305 000 $ de fonds LP résiduels.

Date
Victime
mySwap (mySwap CL)
Chaîne(s)
Starknet
Statut
Fonds dérobés

Le 19 juin 2026, mySwap — un AMM à liquidité concentrée sur Starknet — a été victime d'un exploit d'environ 305 000 dollars après qu'un attaquant a détourné la logique comptable des pools à l'aide d'un jeton sans valeur. Le drainage a débuté vers 07h15 UTC et a presque entièrement vidé la liquidité restante détenue dans le coffre partagé du protocole.

Ce qui s'est passé

L'attaquant a déployé un faux jeton nommé EVIL et s'en est servi pour fausser le chemin comptable qui relie les pools de liquidité concentrée (CL) de mySwap à leur coffre partagé. Comme la comptabilité du coffre faisait confiance aux soldes rapportés via un jeton contrôlé par l'attaquant, une interaction sans permission lui a permis de gonfler sa créance et de retirer des actifs réels apportés par d'autres fournisseurs de liquidité. Les traceurs on-chain ont chiffré le butin à environ 137,96 ETH, 45 000 USDC, 19 900 USDT et 230 000 STRK. Point crucial : l'interface de mySwap était fermée aux nouveaux dépôts de liquidité depuis plus de six mois, si bien que les soldes drainés correspondaient surtout à des positions LP résiduelles réparties sur plus de 100 000 positions dormantes — une surface au repos que personne ne surveillait activement. L'attaquant a ensuite transféré les gains hors de Starknet et les a fait passer par Railgun pour brouiller la piste on-chain.

Conséquences

L'exploit a retiré la quasi-totalité de la liquidité restante des pools concernés. Les fonds ayant été rapidement blanchis via Railgun, aucune récupération n'avait été signalée au moment de la rédaction, et il n'y a eu ni restitution white-hat ni accord négocié. L'incident souligne à quel point un protocole de fait liquidé — mais dont les contrats restent actifs et détiennent des fonds résiduels d'utilisateurs — demeure une cible permanente longtemps après le départ de son équipe.

Pourquoi c'est important

mySwap rappelle que les contrats DeFi dormants ne sont pas des contrats morts : tant qu'un coffre détient de la valeur et accepte des interactions sans permission, sa comptabilité reste une surface d'attaque, même quand le front-end est éteint. Le vecteur du faux jeton fait écho à BnbLabubu, où un paramètre de jeton manipulé a déclenché la mathématique qui a vidé une paire PancakeSwap, et il rejoint zkLend comme un autre protocole Starknet mis à terre par une comptabilité interne exploitable plutôt que par une primitive cryptographique brisée. Pour les AMM, le pool résiduel le plus sûr est celui dont les contrats ont été entièrement vidés ou gelés : la liquidité laissée dans un coffre obsolète est un passif, pas un héritage.

Sources & preuves on-chain

  1. [01]phemex.comhttps://phemex.com/news/article/starknets-myswap-protocol-exploited-300000-drained-90069
  2. [02]cryptoadventure.comhttps://cryptoadventure.com/myswap-loses-305k-on-starknet-after-fake-evil-token-abuses-cl-pool-accounting/
  3. [03]hacked.slowmist.iohttps://hacked.slowmist.io/

Dépôts liés