Yield Protocol perd 3,7 millions de dollars lors d'un événement de glissement extrême : comment les risques de liquidité en DeFi continuent de hanter les plateformes

Source : CryptoNewsNet Titre original : Yield perd 3,7 millions de dollars après une glissement extrême qui efface la transaction GHO Lien original : Yield, un protocole de finance décentralisée (DeFi), a perdu 3,73 millions de dollars lors d’une transaction en raison d’un glissement extrême, ce qui a entraîné l’échange de 3,84 millions de GHO contre seulement 112 000 USDC.

Selon des chercheurs en sécurité, la transaction impliquait six jetons différents et a utilisé deux plateformes DeFi, dont un DEX majeur et Bancor. Plusieurs transferts internes en ETH ont été effectués pour faciliter l’échange, notamment des transferts depuis des pools de liquidité vers des contrats d’Ether enveloppé, ainsi que des adresses de swap et de convertisseur Bancor.

Glissement et difficultés de liquidité causent des pertes en millions

La transaction principale a envoyé 3 840 651 stkGHO depuis le pool de liquidité. Ensuite, de plus petites quantités de jetons stkGHO et GHO ont été transférées via divers pools de liquidité et convertisseurs.

Le plus gros transfert en ETH était de 24,99 ETH, d’une valeur d’environ 78 368 $, provenant d’un pool DEX. Des transferts plus petits, allant de fractions d’ETH à plusieurs ETH, ont également été observés. Ceux-ci ont été utilisés pour des règlements privés entre pools de liquidité et agrégateurs de swaps. Plusieurs transactions de jetons ERC-20 ont aussi eu lieu.

De petits transferts de jetons, notamment 11 127 stkGHO, d’une valeur d’environ 11 118 $, et 2 707 stkGHO, d’une valeur de 2 705 $, ont contribué à la transaction globale, mais n’ont pas eu beaucoup d’impact sur la perte totale.

La transaction a été rapidement approuvée sur la chaîne, avec plus de 7 200 confirmations de blocs enregistrées. La frais de gaz n’a représenté que 1,03 $, ce qui souligne que la perte n’était pas due aux coûts de transaction mais entièrement au glissement et aux problèmes de liquidité.

Yield agit comme une couche de coffre-fort qui envoie de l’argent à des dizaines de plateformes DeFi avec une « optimisation ajustée au risque ». Mais le glissement est la vieille astuce en DeFi. Si les contrôles ne fonctionnent pas, les limitations, le routage, les vérifications de liquidité et « l’optimisation » peuvent tous devenir des dons.

Les utilisateurs dont les actifs sont déposés dans le coffre affecté peuvent voir leurs soldes diminuer, bien que l’impact individuel n’ait pas été divulgué. La réponse du protocole et toute mesure corrective, comme des ajustements des limites de glissement ou des paramètres de taille de transaction, restent en attente.

Augmentation des incidents de glissement et de manipulation en DeFi

Les incidents DeFi précédents incluent des pertes plus faibles liées au glissement dans des protocoles comme Yearn Finance, qui ont entraîné la perte d’environ 63 % de la valeur LP. Les pertes totalisaient 1,4 million de dollars avant tout remboursement, soit environ 2 % de l’ensemble du trésor.

Outre le glissement, ces plateformes sont très vulnérables aux attaques. Le mois dernier, Yearn Finance V1 a été victime d’un piratage qui a entraîné une perte d’environ 300 000 $. Les fonds volés ont été échangés contre 103 Ether et se trouvent maintenant à une adresse connue selon les explorateurs blockchain.

Parallèlement, des rapports ont évoqué une fuite de 2,7 millions de dollars provenant d’un ancien contrat appartenant à Ribbon Finance, la version rebrandée d’Aevo. Cette attaque impliquait des interactions répétées avec un contrat proxy admin, où l’attaquant a invoqué des fonctions telles que transferOwnership et setImplementation pour manipuler des proxies de flux de prix via des appels délégués.

Le coffre Hyperliquid a également récemment subi une perte de près de $5 million lors d’une attaque de manipulation POPCAT. Un trader a réparti ses positions sur plusieurs portefeuilles, a fait fluctuer le marché, puis l’a laissé revenir à la normale, laissant le coffre de liquidité de la plateforme absorber 4,9 millions de dollars de pertes lorsque la transaction s’est dénouée.