Second incident Zunami Protocol
Zunami Protocol a perdu ~500 K$ dans un second incident, 2 ans après son exploit Curve 2023, à nouveau via tarification manipulable dans sa stratégie.
- Date
- Victime
- Zunami Protocol
- Chaîne(s)
- Statut
- Fonds dérobés
En mai 2025, Zunami Protocol a subi un second exploit (~500 K$), environ deux ans après sa manipulation de pool Curve à 2,1 M$ d'août 2023. L'incident 2025 impliquait à nouveau une dérivation de prix manipulable dans la comptabilité de stratégie stablecoin du protocole.
Ce qui s'est passé
Une manipulation financée par flash loan de la tarification dérivée du pool a à nouveau laissé un attaquant extraire de la valeur de la comptabilité de stratégie de Zunami — la même classe de faiblesse systémique que l'incident de 2023, via un chemin spécifique différent.
Conséquences
- Mise en pause ; récupération limitée ; position du protocole davantage érodée.
Pourquoi c'est important
Zunami rejoint les protocoles multi-incidents du catalogue (DEUS ×3, Cream ×3, Platypus, Abracadabra ×3). Le verdict est constant : un protocole exploité via tarification manipulable en 2023, exploité à nouveau via tarification manipulable en 2025, démontre que la remédiation post-incident a adressé le bug, pas le déficit systémique. Deux incidents, même famille racine, deux ans d'écart, c'est le pattern — pas la coïncidence.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-zunami-protocol-incident-may-2025
- [02]rekt.newshttps://rekt.news/zunami-protocol-rekt-2