Vidage de l'oracle BOO de Polter Finance

Le 17 novembre 2024, le protocole de prêt basé sur Fantom Polter Finance a été exploité pour environ 8,7 millions de dollars (le rapport de police post-incident de l'équipe a cité un chiffre plus élevé de 12 M$ incluant les effets en aval). L'attaquant a manipulé l'oracle du jeton BOO via un prêt flash sur les pools SpookySwap, valorisant un BOO à 1,37 billion de dollars au moment où Polter lisait le prix. Polter a fermé ses opérations après l'exploit.

Ce qui s'est passé

Polter Finance était un marché de prêt de style Geist-Aave sur Fantom qui acceptait BOO (le jeton de gouvernance de SpookySwap) comme garantie. L'oracle du protocole pour BOO n'utilisait pas de source externe de confiance ; au lieu de cela, il lisait le prix spot directement depuis les pools SpookySwap V2/V3 à chaque requête.

Pour la plupart des jetons, les lectures d'oracle spot sont dangereuses ; pour BOO, avec une liquidité de pool relativement faible, elles étaient catastrophiques. L'attaquant :

1. A emprunté en flash 269 042 BOO depuis SpookySwap V2 et 1 154 788 BOO depuis SpookySwap V3 — combinés ~1,4 M BOO.
2. A retiré ces jetons des pools SpookySwap, réduisant considérablement les réserves BOO disponibles pour le trading.
3. Avec les réserves BOO effondrées, l'oracle de prix spot SpookySwap a rapporté un prix BOO follement gonflé — environ 1,37 billion $ par jeton dans la lecture la plus extrême.
4. A déposé un seul jeton BOO comme garantie sur Polter — l'oracle a valorisé le dépôt au taux gonflé, accordant à l'attaquant un pouvoir d'emprunt effectif contre des billions de dollars en garantie nominale.
5. A emprunté tous les actifs disponibles que Polter avait à prêter — stablecoins, ETH, BTC et autres actifs Fantom — totalisant environ 8,7 M$.
6. A remboursé les prêts flash (renvoyant le BOO emprunté aux pools, restaurant la liquidité et le prix spot), et est parti avec les actifs empruntés.

Conséquences

• Polter Finance a mis le protocole en pause et l'équipe a tenté une négociation on-chain de prime avec l'attaquant. Aucune réponse.
• Polter a déposé un rapport de police revendiquant 12 M$ de pertes, y compris les effets secondaires sur les protocoles dépendants et les dommages réputationnels.
• L'équipe a annoncé que le protocole ne serait pas relancé — la perte dépassait les réserves de Polter et l'impact sur la confiance des utilisateurs était irrécupérable.
• Les fonds ont été blanchis via des ponts cross-chain et des mixeurs.

Pourquoi c'est important

Polter Finance est l'un des nombreux cas dans le schéma « protocole de prêt à oracle spot sur la chaîne X avec liquidité faible » qui a produit des pertes cumulatives récurrentes à neuf chiffres à travers l'histoire de la DeFi :

• Cream Finance (oct 2021) — manipulation de pool spot yUSD.
• Inverse Finance (avr 2022) — oracle de pool Sushiswap fin pour INV.
• Vee Finance (sep 2021) — oracle Pangolin unique sur Avalanche.
• UwULend (juin 2024) — lectures spot Curve get_p dans la médiane d'oracle sUSDe.
• Polter Finance (nov 2024) — oracle spot SpookySwap pour BOO.

Chaque incident a la même cause structurelle : le protocole de prêt a consommé un prix d'un oracle dont la source de données sous-jacente pouvait être déplacée par l'attaquant en une seule transaction. La réponse défensive — médianes d'oracle pondérées dans le temps depuis plusieurs sources, avec des plafonds stricts sur le taux de changement de prix autorisé par bloc — est bien documentée mais inégalement adoptée, en particulier par les protocoles déployant sur des chaînes plus petites où Chainlink et agrégateurs similaires ont une couverture limitée.

La leçon plus profonde : la sécurité d'un protocole de prêt est le plancher de la qualité de son oracle, pas le plafond de la qualité de son contrat intelligent. Un contrat de prêt parfaitement audité au-dessus d'un oracle manipulable est exactement aussi sûr que l'oracle. Les 8,7 M$ de Polter (ou 12 M$, selon la comptabilité) est le prix récurrent de la sous-estimation de cette hiérarchie.