Un protocole de Finance décentralisée bien connu vient de publier un rapport préliminaire sur un incident de vulnérabilité technique.

Lundi à quinze heures quarante-six minutes, la plateforme de surveillance de la sécurité blockchain Hypernative a été la première à détecter une anomalie : quelqu'un était en train de lancer une attaque en exploitant une vulnérabilité combinée dans les Composable Stable Pools de la version V2 du protocole.

D'un point de vue technique, cette attaque est assez raffinée : les attaquants ont combiné l'erreur d'arrondi en mode EXACT_OUT avec la fonction de transaction par lots batchSwap. En déclenchant à plusieurs reprises ce bug d'arrondi, associé à l'effet amplificateur des opérations en lot, ils ont finalement réussi à contrôler avec précision le solde des pools de liquidité.

En d'autres termes, il s'agit d'exploiter les erreurs de calcul lors du traitement des décimales à l'aide de code, en combinant des opérations de masse pour amplifier l'accumulation des erreurs, ce qui finit par déformer la structure des actifs dans le pool. Cette méthode d'attaque n'est pas rare dans le domaine des contrats intelligents, mais réussir à relier deux vulnérabilités fonctionnelles apparemment indépendantes nécessite une compréhension assez approfondie des mécanismes du protocole.

Actuellement, les autorités ont confirmé l'existence d'une faille et ont commencé à la traiter. L'ampleur des pertes et les plans de réparation ultérieurs sont encore en cours d'évaluation.