Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 163Bug de smart contract

Drainage SocialFi Stars Arena

2,9 M$ drainés de Stars Arena, une app SocialFi style friend.tech sur Avalanche, via une faille de logique prix-de-part/retrait, au pic du buzz SocialFi.

Date
Victime
Stars Arena
Chaîne(s)
Avalanche
Statut
Partiellement récupéré

Le 7 octobre 2023, Stars Arena — une application SocialFi style friend.tech basée sur Avalanche — a été drainée d'environ 2,9 millions de dollars via une faille dans la logique prix-de-part / retrait de son contrat intelligent. L'exploit a atterri au pic du cycle de hype « SocialFi » de fin 2023, lorsque friend.tech et ses clones attiraient un capital spéculatif important.

Ce qui s'est passé

Stars Arena, comme friend.tech, permettait aux utilisateurs d'acheter et de vendre des « parts » (ou « tickets ») d'autres utilisateurs le long d'une bonding curve — acheter les parts d'un créateur coûtait plus cher à mesure qu'il s'en achetait, et les détenteurs gagnaient des frais. Le protocole détenait un AVAX substantiel comme collatéral soutenant toutes les positions de parts.

L'exploit visait la comptabilité prix-de-part / retrait. La faille spécifique laissait l'attaquant retirer bien plus d'AVAX que sa position de parts ne le justifiait — une classe de bug endémique aux contrats à bonding curve clonés rapidement où le calcul de prix achat/vente et la comptabilité de collatéral ne sont pas rigoureusement maintenus synchronisés.

L'attaquant a drainé environ 2,9 M$ en AVAX — le gros de la collatéral du protocole soutenant toutes les positions de parts des utilisateurs.

Conséquences

  • Stars Arena a mis en pause le contrat et reconnu la brèche.
  • L'équipe a négocié avec l'attaquant et récupéré une part significative des fonds (la résolution de plus en plus standard « exploit, négocier, retour partiel contre prime »).
  • Stars Arena a relancé avec un contrat audité, mais le cycle de hype SocialFi était largement passé d'ici là.

Pourquoi c'est important

Stars Arena est une entrée représentative de la catégorie d'échec clone-rapide-d'une-primitive-en-vogue. Le modèle friend.tech était nouveau et attirait l'attention ; de nombreux clones (Stars Arena, autres) ont été livrés rapidement pour capter le flux spéculatif. La vitesse de mise sur le marché a battu la revue de sécurité, et le calcul de la bonding curve + comptabilité de collatéral — qui est trompeusement facile à se tromper subtilement — était le point d'échec prévisible.

Le pattern structurel se répète à chaque cycle de hype :

  • 2020 yield-farming : forks rapides de Compound/Curve → réentrance, donation attacks.
  • 2021 DeFi 2.0 / forks OlympusDAO : → échecs de mécanisme classe Snowdog.
  • 2023 SocialFi / clones friend.tech : → bugs de comptabilité de bonding curve classe Stars Arena.
  • 2024-2026 restaking / LRT / points : → la plus récente frontière de la même dynamique.

La méta-leçon : quelle que soit la primitive actuellement en vogue, des clones rapides seront livrés avec la comptabilité subtilement fausse, et le capital spéculatif chassant la hype sera la collatéral qui se fait drainer. Stars Arena est une instance nette ; le pattern est pérenne, et le conseil défensif — ne déposez pas de capital significatif dans un fork de quelques jours d'une primitive de quelques semaines — est pérennellement ignoré parce que le potentiel de hausse du cycle de hype est, brièvement, réel.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-stars-arena-hack-october-2023
  2. [02]crypto.newshttps://crypto.news/avalanche-based-stars-arena-quells-coordinated-fud-after-patching-exploit/
  3. [03]rekt.newshttps://rekt.news/stars-arena-rekt

Dépôts liés