Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 153Attaque par flash loan

Manipulation de prix Curve Zunami Protocol

2,1 M$ drainés de Zunami Protocol après que ses prix zETH et UZD, dérivés de pools Curve manipulables, ont été gonflés par un attaquant flash-loan.

Date
Victime
Zunami Protocol
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 13 août 2023, Zunami Protocol a perdu environ 2,1 millions de dollars lorsqu'un attaquant a manipulé les prix dérivés de pools Curve pour ses stablecoins zETH et UZD. Un flash loan a gonflé les prix des pools, l'attaquant a minté/extrait au taux manipulé, et les deux jetons ont dépegué de 90 %+.

Ce qui s'est passé

Le UZD (un stablecoin peg dollar) et le zETH de Zunami dérivaient leurs prix de pools de liquidité Curve — des pools dont le prix spot peut être bougé par un acteur suffisamment capitalisé en une seule transaction, et qu'un flash loan finance gratuitement.

L'attaque a suivi le pattern d'oracle flash-loan canonique :

  1. Emprunt flash de capital.
  2. Biais des pools Curve pertinents (paires zETH et UZD), poussant les lectures de prix du protocole loin de la vraie valeur.
  3. Mint / extraction contre les prix manipulés — acquérant bien plus de valeur que la collatéral réelle ne le justifiait.
  4. Inversion de la manipulation, remboursement du flash loan, et départ avec ~2,1 M$.
  5. UZD et zETH ont tous deux dépegué de 90 %+ alors que l'offre non backée et les hypothèses de prix cassées atteignaient le marché.

Conséquences

  • Zunami a mis en pause les contrats affectés et averti les utilisateurs que les stablecoins ne pouvaient tenir leur peg.
  • La position du protocole a été effectivement détruite par le dépeg.
  • Les fonds ont été blanchis via Tornado Cash.

Pourquoi c'est important

Zunami est une entrée de plus dans la lignée stablecoin tarifé depuis un pool Curve manipulable — structurellement identique à Yearn yDAI (2021), BonqDAO (2023), et des dizaines d'autres incidents où le feed de prix du protocole était un pool que l'attaquant pouvait bouger.

La répétition est tout l'enjeu du catalogage de ces petits incidents. Individuellement, les 2,1 M$ de Zunami sont sans intérêt. Collectivement, le pattern — « protocole DeFi tarifie un actif critique depuis un taux spot de pool Curve/AMM ; attaquant flash-loan bouge le pool ; protocole drainé ; stablecoin dépeg » — apparaît tellement de fois à travers le catalogue, à travers tant d'années et de chaînes, qu'il constitue le mode d'échec unique le plus répété de l'histoire de la DeFi.

La réponse défensive a été documentée et librement disponible depuis les attaques flash-loan bZx de février 2020 : ne dérivez jamais un prix critique du taux spot instantané d'un pool ; utilisez des oracles pondérés dans le temps, des feeds externes, des médianes multi-sources, et des gardes de déviation. Zunami en août 2023 — trois ans et demi après bZx — a quand même livré un stablecoin tarifé depuis des pools Curve manipulables. La thèse silencieuse du catalogue est exactement cela : la connaissance existe, est gratuite, et n'est pas appliquée à répétition, et le coût cumulatif de cet écart se mesure en milliards.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-zunami-protocol-hack-august-2023
  2. [02]decrypt.cohttps://decrypt.co/152366/zunami-protocol-curve-finance-hack
  3. [03]cryptopotato.comhttps://cryptopotato.com/zunami-protocol-exploited-for-over-2-million-native-stablecoin-uzd-plunges-99/

Dépôts liés