$145K Perdu alors que les Hackers utilisent Merkl pour lancer des escroqueries DeFi non vérifiées

Les Hackers ont trouvé un nouveau moyen d'exploiter la finance décentralisée (DeFi) utilisateurs. Cette fois, ils ont utilisé Merkl, une plateforme d'incitation DeFi tout-en-un, pour créer de fausses campagnes non vérifiées et vider les dépôts des utilisateurs. L'escroquerie a ciblé les utilisateurs sur Sonic via le protocole Euler. Cela a déjà causé des pertes de plus de 145 000 $.

Les Hackers Créent de Fausses Campagnes à Haut Rendement

Selon l'utilisateur DeFi YAM, un acteur malveillant a profité de la configuration ouverte de Merkl pour créer de fausses campagnes. Celles-ci semblaient offrir des rendements APR à trois chiffres. L'escroquerie a invité les utilisateurs à déposer des USDC dans ce qui ressemblait à un coffre Euler légitime sur Sonic. Cependant, une fois que les utilisateurs ont déposé leurs fonds, l'attaquant les a complètement drainés.

Parce qu'Euler Finance est un protocole sans autorisation, tout le monde peut déployer des marchés sans approbation. L'attaquant a utilisé cette fonctionnalité pour lancer un faux marché. Utilisant un jeton appelé scUSD comme garantie et USDC comme dette. Ils ont ensuite manipulé le prix de l'oracle, un flux de données clé utilisé dans DeFi, le fixant à un absurde $1 millions par jeton. Cela leur a permis d'emprunter 700 000 USDC contre un seul scUSD. Cela leur donne effectivement un contrôle total sur les fonds du coffre.

Comment l'escroquerie a fonctionné

Une fois que le faux marché a été lancé, l'attaquant a lancé une campagne non vérifiée sur Merkl. Il promeut des rendements extrêmement élevés pour attirer des dépôts. Les utilisateurs qui ont déposé des USDC dans la campagne ont vu leurs fonds empruntés, échangés contre de l'ETH. Puis transférés au projet RAILGUN, un protocole de confidentialité souvent utilisé pour cacher les transactions.

Les données on-chain montrent que l'adresse du portefeuille du principal opérateur est 0x8ba913e…, avec des fonds finalement envoyés à 0xa86399… avant de disparaître dans RAILGUN. Fait intéressant, un utilisateur, identifié comme 0xc0f8fe…, a réussi à retirer son dépôt avant que l'attaquant ne le vide. Probablement parce que le Hacker ne surveillait pas activement le coffre.

Réactions de la communauté DeFi

Suite à la découverte, YAM a exhorté les utilisateurs à faire preuve de prudence lorsqu'ils interagissent avec des campagnes Merkl non vérifiées. Ils ont également appelé l'équipe de Merkl à rendre plus difficile le dépôt dans de telles campagnes en ajoutant des avertissements contextuels plus forts.

Michael Bentley, co-fondateur et PDG d'Euler Labs, a répondu en confirmant. Que le coffre en question était clairement marqué comme non vérifié et étiqueté comme un risque de sécurité. Il a noté que le site Web d'Euler n'autorise l'accès aux coffres non vérifiés qu'après que les utilisateurs aient manuellement activé une option reconnaissant le risque. “Nous bloquons désormais définitivement tous les liens vers ce coffre particulier pour empêcher toute utilisation ultérieure”, a ajouté Bentley.

Les membres de la communauté ont également soulevé des questions sur la manière dont les utilisateurs de DeFi peuvent vérifier si l'oracle d'un marché est légitime. YAM a expliqué que les oracles fournissent des données de prix du monde réel aux applications DeFi. Ils sont souvent contrôlés par les curateurs du marché et doivent être configurés avec soin. Une petite erreur, comme un décimal incorrect ou un multisig non sécurisé, peut ouvrir la voie à de grandes exploitations comme celle-ci.

Appels à des protections plus strictes

L'incident met en évidence un problème récurrent dans le DeFi. L'équilibre entre l'innovation sans autorisation et la sécurité des utilisateurs. Des plateformes comme Merkl et Euler permettent à quiconque de créer ou de rejoindre des marchés librement. Mais cette ouverture donne également aux attaquants la possibilité d'agir. Bien que les projets marquent clairement les campagnes non vérifiées. Le nombre croissant d'escroqueries montre que les avertissements à eux seuls peuvent ne pas suffire.

Les utilisateurs appellent désormais à plus de friction, comme des vérifications obligatoires ou des confirmations supplémentaires, pour protéger les dépôts. Actuellement, les experts conseillent aux utilisateurs d'interagir uniquement avec des campagnes vérifiées et de vérifier les détails des contrats avant de déposer des fonds. L'exploitation de 145 000 $ sert de rappel que même dans le monde ouvert de la DeFi, la prudence est la meilleure défense.