Drainage de staking NFT The Idols
The Idols NFT a perdu ~324 K$ : une faille comptable de récompenses de staking a permis à un attaquant de réclamer des récompenses bien au-delà du dû.
- Date
- Victime
- The Idols NFT
- Chaîne(s)
- Statut
- Fonds dérobés
Le 13 janvier 2025, le projet The Idols NFT a perdu environ 324 000 $ via une faille comptable de récompenses de staking qui a laissé un attaquant réclamer des récompenses pondérées bien au-delà du dû, drainant le pool de récompenses.
Ce qui s'est passé
Le contrat de staking NFT de The Idols suivait mal la comptabilité de poids/réclamation des récompenses, permettant des sur-réclamations répétées. Le pool de récompenses a été drainé avant que le problème ne soit détecté.
Conséquences
- Le projet a mis en pause le staking ; petite perte, récupération limitée.
Pourquoi c'est important
The Idols NFT est un double-dip de comptabilité de récompenses de plus (Popsicle, Level Finance, Bent, BetterBank). Le calcul des récompenses de staking NFT relève de la même classe de risque que celui des récompenses LP : il doit rester cohérent sur stake, unstake, transfert et claim, sous un ordonnancement arbitraire. Le catalogue enregistre cette surface exacte qui échoue à travers les années et types de produits — la généralisation que les développeurs continuent de manquer est qu'une réclamation de récompense est un retrait et nécessite des tests d'invariants de niveau retrait, idéalement formels.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-idols-nft-hack-january-2025
- [02]rekt.newshttps://rekt.news/the-idols-nft-rekt