Points clés à retenir :
Ekubo Protocol, une plateforme d'échange décentralisée, a perdu environ 1,4 million de dollars en Wrapped Bitcoin (WBTC) après qu'une faille a ciblé ses contrats de routeur de swap sur les réseaux Ethereum et Arbitrum. La vulnérabilité provient d'un manque de vérification de validation qui a permis à un attaquant de drainer les fonds d'utilisateurs ayant précédemment accordé une approbation aux contrats.
L'attaque a d'abord été signalée par la société de sécurité Blockaid, puis confirmée par l'équipe d'Ekubo. « L'exploitation d'Ekubo Protocol est survenue en raison d'une erreur simple mais coûteuse dans le code », a déclaré une annonce officielle. Le problème central était une « validation du payeur manquante » dans la fonction de rappel IPayer.pay, qui n'a pas réussi à vérifier la source des paramètres, permettant à l'attaquant de transférer des jetons au nom des utilisateurs.
Les données montrent que l'exploitation a entraîné le vol d'environ 17 WBTC via 85 transactions. Le protocole de base Ekubo, qui opère principalement sur Starknet, reste sécurisé. La vulnérabilité était limitée aux contrats de routeur V2 et V3 spécifiques sur les chaînes compatibles EVM, affectant uniquement les utilisateurs ayant accordé des approbations de jetons illimitées à ces adresses. Les fournisseurs de liquidité et les utilisateurs du protocole natif de Starknet n'ont pas été impactés.
Cet incident souligne les risques persistants associés aux approbations de jetons dans l'espace DeFi sur Ethereum. Bien que pratiques, l'octroi de permissions illimitées aux contrats intelligents peut exposer les utilisateurs à des pertes importantes si une vulnérabilité est découverte. L'équipe d'Ekubo prépare un rapport post-mortem et a averti les utilisateurs de se méfier des éventuelles escroqueries au remboursement, leur conseillant de suivre les canaux officiels pour les mises à jour.
L'équipe d'Ekubo exhorte tous les utilisateurs ayant déjà interagi avec les contrats de routeur affectés sur Ethereum ou Arbitrum à révoquer immédiatement toute autorisation active. Cela peut être fait en utilisant des outils tiers de confiance comme revoke.cash.
Révoquez les approbations pour ces adresses de contrat spécifiques :
Ethereum :
0x8ccb1ffd5c2aa6bd926473425dea4c8c15de60fd (V2)0x4f168f17923435c999f5c8565acab52c2218edf2 (V3)Arbitrum :
0xc93c4ad185ca48d66fefe80f906a67ef859fc47d (V3)Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
