
Nouvel incident dans un projet DeFi : analyse de l'événement IDO BZRX et recommandations de prévention
TechFlow SélectionTechFlow Sélection

Nouvel incident dans un projet DeFi : analyse de l'événement IDO BZRX et recommandations de prévention
Cet incident n'est ni un piratage de projet DeFi, ni une vulnérabilité dans un contrat DeFi.
Auteur|Certik
Imaginez que vous apprenez qu'une paire limitée de baskets Jordan, les AJ, sera mise en vente ce soir à 18h. Dès le matin, vous arrivez devant le magasin avec votre petit tabouret et obtenez une bonne place dans la file d'attente, prêt à tout pour l'acheter. Mais soudain, vous remarquez que plusieurs personnes devant vous ne sont pas de vrais fans, mais des revendeurs.
Ces revendeurs ont réservé toutes les nouvelles paires AJ restantes en magasin. Vous décidez alors de passer au site web. Sans surprise, comme d'habitude, faute d'avoir un ordinateur haut de gamme, un programme dédié ou une connexion internet améliorée moyennant des frais supplémentaires, toutes les AJ vendues en ligne lors du lancement sont rapidement épuisées.
Des chaussures initialement vendues quelques milliers de yuans atteignent soudainement des prix dépassant les dizaines de milliers sur internet, où les vendeurs ne sont plus les boutiques officielles mais ces mêmes revendeurs.
Ce genre de situation n'est peut-être pas rare quand vous faites vos achats impulsifs, mais des événements similaires se produisent régulièrement dans le domaine de la blockchain.
À 22h28 heure de Pékin le 13 juillet, BZRX a été listé sur Uniswap. Un utilisateur a utilisé immédiatement un contrat intelligent pour acheter plus de 1 966 100 BZRX avec 650 ETH, soit 39,3 % du pool de liquidités en BZRX. Deux minutes plus tard, le prix de la cryptomonnaie ayant augmenté suite à cet achat massif, l'utilisateur a commencé une série de ventes, réalisant un profit total de 2 030 ETH et 300 000 jetons BZRX.
Toutefois, cette opération impliquait un risque financier considérable pour l’attaquant (run out of gas). En réalité, durant l'attaque, l’attaquant ne savait pas quelles transactions seraient effectivement extraites par les mineurs et inscrites dans la blockchain.

Capture d’écran du tweet de Roman Storm
Selon les informations publiées par l'ingénieur de sécurité Roman Storm sur Twitter, parmi toutes les transactions envoyées pour vendre les BZRX, 14 ont échoué, chacune ayant entraîné des frais de gaz élevés. Bien sûr, 15 transactions ont réussi, ce qui signifie un taux de réussite d'environ 50 %. Lancer une telle attaque comporte donc un risque élevé.
Si l’attaquant tentait d’acheter des baskets AJ limitées, chaque tentative d’achat serait accompagnée de frais de transaction, prélevés dès chaque tentative. Or, tous les achats ne réussissent pas : si l’achat échoue, les frais sont perdus.
Du point de vue de la stratégie, cet incident ressemble davantage à un problème économique :
Surveillance par programme pour détecter l’annonce du lancement de BZRX
Achat massif d’un grand nombre de BZRX à bas prix
Augmentation rapide du prix du BZRX
Ventes répétées de BZRX
L’attaquant a mené cette série d’opérations à une vitesse fulgurante, réalisant ainsi un profit important.
Fin juin, un événement similaire s’est produit et a probablement retenu votre attention. Deux pools de liquidité sur Balancer ont été victimes d’une attaque via prêt flash, entraînant une perte de 500 000 dollars. Le système Skynet de CertiK a détecté une anomalie dans les contrats DeFi de Balancer puis procédé à une analyse. Pour plus de détails, veuillez consulter « Prêts flash : Analyse de l’attaque contre Balancer » et « L’avenir de la DeFi ? Balancer attaqué une nouvelle fois ».
Juste après que le jeton BZRX a été ajouté à la liste des échanges sur Uniswap, l’attaquant a acheté massivement des BZRX. En raison du mécanisme de marché d’Uniswap, lorsque beaucoup d’unités d’un jeton sont achetées, son prix augmente. L’attaquant a ensuite réalisé plusieurs transactions pour vendre ses BZRX à un prix élevé, obtenant ainsi de l’ETH (chaque vente abaissant progressivement le prix du BZRX), et finalement généré un profit substantiel. Voici le coût de l’attaque et le bénéfice final :
Capture d’écran du tweet de Roman Storm
La similitude entre ces deux incidents réside dans le fait que les attaquants ont exploité une « faille » dans le modèle économique de la finance décentralisée (DeFi) pour réaliser des profits par des achats à bas prix suivis de ventes à prix élevé.
La différence entre cet incident et l’attaque contre Balancer est que, dans le cas de Balancer, l’attaquant a malicieusement manipulé la quantité de jetons pour contrôler leur prix. Ici, en revanche, l’attaquant a profité du moment où BZRX venait d’être listé sur Uniswap et était encore à un prix bas, effectuant des achats conformes aux processus normaux pour en tirer profit. Ainsi, Roman Storm a précisé ultérieurement sur Twitter que l’incident BZRX IDO n’était ni une exploitation de protocole ni un piratage.
Cependant, contrairement aux contrats intelligents traditionnels, les contrats DeFi peuvent présenter des vulnérabilités liées à leur modèle économique.
Même si le code est sans erreur et que le déploiement du contrat est sécurisé, un problème peut néanmoins surgir au niveau du modèle économique.
Tout cela semble difficile à prévenir ?
CertiK propose ici quelques mesures fondamentales afin d’aider les projets DeFi à éviter la répétition de tels incidents :
Lors du lancement d’un nouveau jeton, il est possible de s’inspirer du processus d’introduction en bourse. Avant la mise en vente, l’échange attribue à chaque utilisateur un quota d’achat basé sur certains critères. Après le lancement, chaque utilisateur ne peut acheter qu’une quantité limitée de jetons. Cela empêche qu’un seul utilisateur accumule près de 40 % des nouveaux jetons mis en circulation et provoque une hausse artificielle des prix.
Utiliser une méthode de type Ring Trading (échange en anneau), en définissant des intervalles de temps entre les transactions et en vendant les jetons par lots successifs.
Adopter des méthodes telles que les enchères groupées (batch auctions) comme dFusion, ou des enchères à la hollandaise, pour la vente des jetons.
Cet incident n’était ni un piratage de projet DeFi ni une faille dans un contrat intelligent. Toutefois, l’attaquant a largement exploité une lacune, révélant ainsi indirectement un certain manque de maturité au niveau financier plutôt que technique de la DeFi. Comme l’ont déjà analysé les experts de l’équipe CertiK, il s’agit davantage d’un problème économique.
CertiK recommande donc aux utilisateurs de renforcer la vérification des risques associés aux projets DeFi, de surveiller en permanence les vulnérabilités de sécurité, et, si nécessaire, de faire appel à une entreprise tierce spécialisée en sécurité pour effectuer des tests d’intrusion et mettre en œuvre une défense complète, permettant ainsi d’identifier toute autre cause potentielle de problèmes.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














