Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 270Bug de smart contract

Vidage de marge sur deux jours de Rhea Finance

Rhea Finance sur NEAR a perdu 18,4 M$ après une préparation de deux jours avec faux jetons, 423 wallets et 8 pools Ref exploitant une faille de slippage.

Date
Victime
Rhea Finance
Chaîne(s)
NEAR
Statut
Partiellement récupéré

Le 16 avril 2026, le protocole de prêt basé sur NEAR Rhea Finance a subi un exploit méthodique préparé en deux jours qui a drainé environ 18,4 millions de dollars — plus du double de l'estimation initiale de 7,6 M$. L'attaquant a exploité une faille de protection contre le slippage dans la fonction de trading sur marge qui sommait incorrectement les sorties attendues à travers les étapes de swap séquentielles. Environ 9 M$ ont été récupérés via des gels Tether et des restitutions partielles de l'attaquant.

Ce qui s'est passé

Le produit de trading sur marge de Rhea Finance permettait aux utilisateurs d'exécuter des transactions à effet de levier via des séquences de swaps à travers l'écosystème DeFi de NEAR. La fonction incluait une vérification de protection contre le slippage qui sommait les sorties attendues à travers toutes les étapes de swap pour vérifier que les utilisateurs recevaient une valeur équitable de bout en bout.

La faille fatale résidait dans la façon dont la protection contre le slippage calculait à travers les étapes séquentielles. La logique de sommation avait un manque qui permettait à un attaquant de construire des séquences où la vérification agrégée du slippage passait même si chaque étape individuelle déviait des valeurs équitables du marché dans des directions favorisant l'attaquant.

La phase de préparation de deux jours (13-15 avril 2026) était distinctive pour sa discipline opérationnelle :

  1. Création d'un portefeuille sujet comme adresse d'opération principale.
  2. Distribution des fonds sur 423 portefeuilles intermédiaires uniques pour obscurcir les sources de financement de l'attaque et les chemins de blanchiment post-attaque.
  3. Déploiement de contrats de faux jetons construits spécifiquement conçus pour interagir avec la logique de trading sur marge de Rhea de manière exploitable spécifique.
  4. Création de 8 nouveaux pools de trading sur Ref Finance (le DEX principal de NEAR) — fournissant les lieux de liquidité par lesquels l'attaque transiterait.
  5. Construction d'un routeur de swap personnalisé pour exécuter la séquence complexe d'opérations de l'attaque comme une seule transaction atomique.

Le 16 avril, l'attaque s'est exécutée :

  1. Utilisation de l'infrastructure préparée pour appeler la fonction de trading sur marge de Rhea avec la séquence de swap soigneusement forgée.
  2. Chaque étape de la séquence extrayait de la valeur que la logique de sommation du slippage ne parvenait pas à détecter comme sous-tarification cumulative.
  3. Drainage d'environ 18,4 M$ en actifs mixtes — principalement USDC, USDT, NEAR et BTC enveloppé.

Conséquences

  • Rhea Finance a mis en pause les opérations affectées en quelques heures.
  • L'équipe a publié un rapport d'enquête détaillant la chronologie de préparation de deux jours.
  • Efforts de récupération :
    • 3,29 M$ USDT gelés directement dans le portefeuille de l'attaquant par Tether.
    • 3,359 M$ USDC restitués par l'attaquant après négociation on-chain.
    • 1,564 M$ NEAR restitués par l'attaquant.
    • 4,34 M$ USDT gelés (action Tether supplémentaire séparée).
  • Total récupéré ou gelé : environ 9 millions de dollars des 18,4 M$ de perte — environ 49%.

Pourquoi c'est important

L'incident Rhea Finance est le cas d'école de 2026 pour comment les attaques lourdes en préparation deviennent la norme à l'extrémité supérieure de la sophistication des exploits DeFi. La phase de construction d'infrastructure de deux jours ressemble plus à un savoir-faire opérationnel d'acteur étatique qu'à une exploitation opportuniste de protocole. La distribution sur 423 portefeuilles à elle seule implique un investissement significatif en infrastructure et en planification opérationnelle.

Les leçons structurelles :

  1. La logique de protection contre le slippage doit être testée contre des séquences adversariales, pas seulement les flux d'utilisateurs normaux. Les tests basés sur les propriétés qui essaient chaque séquence possible d'opérations de swap sont le seul moyen fiable de faire surface cette classe de bug.

  2. L'attribution et la récupération sont devenues significativement plus efficaces en 2026. La combinaison de la capacité de gel de Tether (qui s'est considérablement durcie depuis 2022), des enquêteurs on-chain publiant le réseau de portefeuilles de l'attaquant en quelques heures, et du chemin de négociation white-hat étant largement compris signifie que même les attaquants sophistiqués font face à des contraintes significatives sur leur encaissement.

  3. L'empreinte d'infrastructure pré-attaque est en soi un signal défensif — déployer 423 portefeuilles intermédiaires et 8 nouveaux pools Ref Finance est le genre d'activité que les services de surveillance on-chain peuvent détecter avant l'exécution de l'attaque, avec suffisamment de sophistication. L'effort de récupération de Rhea a construit rétroactivement les schémas de détection ; les construire de manière prospective est de plus en plus la frontière de la sécurité DeFi.

Le taux de récupération de 49% est notablement élevé pour un incident DeFi de plus de 20 M$, et reflète la combinaison de la volonté d'application de Tether et du calcul stratégique apparent de l'attaquant selon lequel un retour partiel + prime était préférable à une tentative de blanchiment complet étant donné les capacités actuelles de criminalistique on-chain.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-rhea-finance-hack-april-2026
  2. [02]theblock.cohttps://www.theblock.co/post/397961/rhea-finance-post-mortem-exploit-losses-18-4-million-double-initial-estimates
  3. [03]coinedition.comhttps://coinedition.com/18-4m-rhea-finance-hack-built-over-two-days-post-mortem-reveals

Dépôts liés