Acheter Cryptos
Payer en
USD
USD
Acheter & Vendre
Hot
Visa, MasterCard, SEPA et bien plus
P2P
0 Fees
Trading flexible, zéro frais
Gate Card
Payez partout avec vos cryptos
Marchés
Trader
Basique
Avancé
Futures
Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
tag
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Square
Square
Découvrir la valeur en crypto
Live
moments live
Analyse en temps réel du marché des cryptomonnaies
Discussion
Discutez avec des traders de cryptomonnaies
Actualités
Ce qu'il se passe dans le monde de la crypto
flower_head
Plus
Promotions
AI
Autres
TradFi
Récompenses

En dehors du piratage de Resolv, ce type de faille DeFi a déjà été observé quatre fois

BlockBeatNews
Incidents de sécuritéDonnées on-chain
RESOLV-4,84%
DEFI4,58%
FLUID0,3%
MORPHO-1,7%

Titre original : La DeFi a déjà vu l’exploitation de 25 millions de dollars USR par Resolv à plusieurs reprises auparavant

Auteur original : Camila Russo, The Defiant

Traduction : Deep潮 TechFlow

Un dimanche matin calme, quelqu’un a transformé 100 000 dollars en 25 millions de dollars en environ 17 minutes.

Cible : le protocole de stablecoins à rendement Resolv. Avant la suspension du contrat de Resolv, son stablecoin USR, lié au dollar, avait chuté à quelques centimes. Au moment de la rédaction, USR reste fortement déstabilisé, avec un prix d’environ 0,25 dollar, en baisse de plus de 70 % cette semaine.

Les répercussions dépassent largement Resolv lui-même. Fluid/Instadapp ont absorbé plus de 10 millions de dollars de créances douteuses en une seule journée, avec un retrait net de plus de 300 millions de dollars le même jour, record historique de sortie quotidienne. 15 coffres Morpho ont été affectés. Euler, Venus, Lista DAO et Inverse Finance ont tous suspendu leurs marchés liés à USR.

Le mécanisme à l’origine de la propagation de cette faille — fixer le prix d’un stablecoin déstabilisé à 1 dollar dans le marché de prêt — n’est pas nouveau. Au cours des 14 derniers mois, cela s’est produit au moins quatre fois.

Comment fonctionne la faille

La création de USR suit un processus hors chaîne en deux étapes : l’utilisateur dépose des USDC via la fonction requestSwap, puis une clé de signature hors chaîne privilégiée SERVICE_ROLE valide la quantité de USR émise via completeSwap.

Le contrat impose une limite minimale de sortie, mais pas de limite maximale. La clé signée par le détenteur de la clé est exécutée telle quelle.

Les attaquants ont obtenu l’accès à cette clé via le service de gestion des clés AWS de Resolv. Ils ont effectué deux dépôts en USDC, totalisant environ 100 000 à 200 000 dollars, puis ont utilisé la clé compromise pour forger 80 millions d’USR en échange. Les données on-chain montrent deux transactions de 50 millions et 30 millions d’USR, toutes deux effectuées en quelques minutes.

« La faille USR de Resolv n’est pas un bug — c’est une fonctionnalité qui fonctionne comme prévu. C’est là tout le problème », explique l’analyste on-chain Vadim (@zacodil).

SERVICE_ROLE est un compte externe ordinaire, sans multisignature. La clé administrateur est protégée par multisignature, mais pas la clé de création.

« Resolv a subi 18 audits », indique Vadim, « dont un s’appelait directement « Absence de limite » ».

Les attaquants ont procédé méthodiquement : d’abord convertir l’USR créé en wstUSR (version stakée), pour atténuer l’impact sur le marché, puis échanger via Curve, Uniswap et KyberSwap contre de l’ETH. Le portefeuille de l’attaquant détient environ 11 400 ETH (environ 24 millions de dollars). Les pools de collatéral en ETH et BTC qui soutiennent tout le système sont restés intacts malgré l’effondrement du stablecoin.

Comment la contagion s’étend

La faille Resolv résulte en réalité de la superposition de deux événements. La première est une faille de création monétaire, la seconde une défaillance en chaîne des marchés de prêt.

Lorsque USR et wstUSR s’effondrent, chaque marché de prêt qui les accepte en tant que collatéral fait face au même problème : leurs oracles continuent de valoriser wstUSR à près de 1 dollar.

Omer Goldberg, fondateur de Chaos Labs, a analysé ce mécanisme. Sa conclusion principale : « L’oracle est codé en dur, il n’a jamais été revalorisé. wstUSR est marqué à 1,13 dollar, alors que son prix de marché tourne autour de 0,63 dollar. »

Les traders achètent wstUSR à bas prix sur le marché ouvert, puis le mettent en garantie sur Morpho ou Fluid en utilisant l’oracle à 1,13 dollar, empruntent des USDC, puis s’en vont.

Chez Fluid, l’équipe a obtenu un prêt à court terme pour couvrir 100 % des créances douteuses, en promettant de compenser intégralement chaque utilisateur. Sur Morpho, le cofondateur Paul Frambot indique qu’environ 15 coffres présentent une exposition importante, tous dans une stratégie de collatéral à risque élevé ou à longue queue.

Le célèbre curateur Gauntlet affirme : « L’exposition de plusieurs coffres à haut rendement est limitée. »

Mais D2 Finance conteste cette affirmation, en publiant des données on-chain montrant que le coffre phare de Gauntlet, « USDC Core », a alloué 4,95 millions de dollars au marché wstUSR/USDC. Goldberg précise ensuite que ce coffre détient 98 % de la liquidité des prêteurs dans ce marché.

Frambot a répondu par écrit à The Defiant : « Nous étudions comment présenter de manière plus complète les différents risques. Mais nous ne pensons pas que le problème central soit le manque d’étiquetage. »

Il ajoute : « Morpho est indépendant de l’oracle, ce qui signifie qu’il permet aux curateurs de choisir n’importe quel oracle qu’ils jugent adapté à un marché spécifique. Morpho est une infrastructure ouverte et sans permission, conçue pour externaliser la gestion des risques aux curateurs. »

« Il est difficile d’imposer des barrières objectives et universelles dans tous les scénarios », explique Frambot, « et imposer des contraintes au niveau du protocole peut aussi entraver la mise en œuvre de stratégies légitimes. »

Bien que le protocole sous-jacent laisse la gestion des risques aux curateurs, certains experts estiment qu’ils n’ont pas toujours rempli leur rôle.

« Je pense que la conception de l’industrie des curateurs est défectueuse, car il n’y a pas de véritable curation », déclare Marc Zeller sur X.

Au moment de la publication, Resolv, Gauntlet et Fluid n’ont pas répondu aux demandes de commentaire de The Defiant.

Un schéma d’échec récurrent

Ce n’est pas une attaque nouvelle. En janvier 2025, le USD0++ de Usual Protocol a été codé en dur à 1 dollar dans le coffre Morpho par le curateur MEV Capital.

Ensuite, Usual a soudainement ajusté le prix de rachat à 0,87 dollar sans avertissement, piégeant les prêteurs dans le coffre MEV Capital, dont le taux d’utilisation a atteint 100 %.

En novembre 2025, la chute de xUSD de Stream Finance a eu lieu, après que le curateur a routé des dépôts USDC dans un cycle de levier soutenu par ce stablecoin synthétique, et lorsque l’oracle a refusé de se mettre à jour, environ 285 millions à 700 millions de dollars d’actifs sur Morpho, Euler et Silo ont été mis en danger.

En octobre et novembre 2025, Moonwell a connu deux défaillances d’oracle successives, générant plus de 5 millions de dollars de créances douteuses.

Ce que cela signifie pour le modèle des curateurs

L’architecture de Morpho externalise toutes les décisions de risque à des « curateurs » tiers, qui construisent les coffres, choisissent les collatéraux, fixent le ratio de prêt et sélectionnent l’oracle. La théorie veut que ces acteurs, en tant que professionnels, disposent d’une expertise approfondie, la concurrence améliorant la gestion des risques, et que le protocole se limite à appliquer les règles.

Mais ces curateurs gagnent des frais en fonction des rendements générés, ce qui crée une incitation à accepter des collatéraux plus risqués et plus rémunérateurs (comme les stablecoins à rendement). Le problème, c’est que lorsque ces stablecoins se déstabilisent, la perte est supportée par les déposants, pas par le curateur.

Dans l’incident Resolv, certains robots automatisés de curateurs ont continué à injecter des fonds dans les coffres affectés plusieurs heures après la découverte de la faille, aggravant ainsi les pertes.

L’utilisation d’oracles codés en dur pour les stablecoins vise à éviter que de petites fluctuations n’entraînent des liquidations inutiles. Mais cette protection n’est efficace que si le stablecoin reste stable.

L’analyste on-chain Chainalysis a indiqué, lors de son analyse rétrospective, qu’il faut une capacité de détection en temps réel sur la chaîne.

« Les contrats intelligents on-chain fonctionnent parfaitement. Le problème réside clairement dans la conception plus large du système et l’infrastructure hors chaîne », a déclaré l’analyste.

Lien original

Cliquez pour découvrir BlockBeats, la plateforme de recrutement de l’industrie

Rejoignez la communauté officielle de BlockBeats :

Groupe Telegram abonnés : https://t.me/theblockbeats

Groupe Telegram général : https://t.me/BlockBeats_App

Compte Twitter officiel : https://twitter.com/BlockBeatsAsia

Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'avertissement.
Commentaire
0/400
Aucun commentaire