Une attaque ciblée par prêt flash révèle des failles dans la liquidité des stablecoins

L’exploitation de 4,2 millions de dollars en DUSD était une attaque précise par prêt flash qui a manipulé les hypothèses de tarification à court terme, drainant une seule pool Curve sans compromettre le système de stablecoins plus large.

L’incident met en lumière une vulnérabilité récurrente de la DeFi où une liquidité profonde et des dépendances aux oracles peuvent devenir des passifs en cas de déséquilibres de capitaux extrêmes et de courte durée.

Alors que la containment rapide de Makina a limité la contagion, l’événement renforce le fait que le risque LP dans les pools de stablecoins est structurellement différent du simple risque de détention de tokens.

Une attaque ciblée par prêt flash sur la pool DUSD/USDC de Makina montre comment la liquidité des stablecoins, la conception des oracles et la liquidité flash peuvent se combiner pour créer un risque concentré pour les LP.

L’INCIDENT

Dans les premières heures du 20 janvier, une attaque par prêt flash très ciblée a drainé environ 4,2 millions de dollars de la pool de liquidité DUSD/USDC sur Curve, marquant l’une des exploitations de stablecoins les plus précises sur le plan technique au début de 2026 et soulignant comment la composabilité, bien que puissante, continue de créer des surfaces d’attaque lorsque les dépendances aux oracles et les hypothèses de liquidité s’alignent de manière imparfaite.

DUSD, un stablecoin multi-chaînes émis par Makina Finance, n’a pas été attaqué via son mécanisme principal de frappe–rédemption mais par une seule plateforme de liquidité, où un attaquant a emprunté environ $280 millions de USDC via des prêts flash, déformant temporairement les entrées de tarification référencées par l’oracle, gonflant la valeur apparente d’une position de liquidité, et extrayant les actifs disponibles avant que le système ne puisse se rééquilibrer, s’en allant finalement avec des fonds équivalant à environ 1 299 ETH au moment de l’exploitation.

Fait crucial, l’incident n’a pas compromis l’offre globale de DUSD ni les utilisateurs détenant simplement du DUSD, des positions Pendle ou une exposition Gearbox, une distinction que Makina a soulignée dans ses communications post-incident, mais la rapidité et la précision de l’extraction ont montré que même des pools bien isolés peuvent devenir des points de défaillance uniques lorsque la concentration de capitaux, la latence des oracles et la liquidité flash se croisent.

COMMENT L’ATTAQUE A FONCTIONNÉ

Sur le plan technique, l’exploitation a suivi un schéma de plus en plus familier pour les chercheurs en sécurité DeFi, mais avec une exécution affinée pour une cible étroite : en injectant une quantité énorme et à court terme de USDC dans la pool DUSD/USDC de Curve, l’attaquant a pu manipuler les hypothèses de tarification sur lesquelles se basaient la logique en aval, créant l’illusion d’une liquidité excédentaire et permettant un arbitrage rentable dans un seul lot de transactions.

Parce que les prêts flash ne nécessitent pas de capital initial et doivent être remboursés dans le même bloc, l’attaquant a supporté un risque directionnel minimal, exploitant plutôt la distorsion temporelle des prix, une classe de vulnérabilité qui a réapparu à plusieurs reprises dans la DeFi lorsque les pools dépendent de flux de prix pouvant être biaisés par des déséquilibres à court terme plutôt que par une agrégation pondérée dans le temps ou multi-sources.

Le résultat n’a pas été un effondrement systémique mais une extraction propre : environ 5,1 millions de dollars en USDC équivalent, comme l’a ultérieurement divulgué Makina, a été siphonné du pool, laissant les fournisseurs de liquidité entièrement exposés tandis que l’infrastructure plus large du protocole restait intacte.

CONFINEMENT ET RÉPONSE

La réponse de Makina a été remarquable par sa rapidité et son ampleur, reflétant les leçons tirées de crises DeFi antérieures : l’équipe a immédiatement confirmé que l’exploitation était limitée à la pool Curve DUSD/USDC, a effectué une capture d’écran préalable à l’attaque des soldes des fournisseurs de liquidité, et a activé un mode de récupération permettant aux LP affectés de retirer unilatéralement en DUSD pendant que des options de remédiation à plus long terme étaient évaluées.

Dans ses déclarations publiques du 21 janvier, Makina a indiqué avoir identifié des pistes liées à l’identité on-chain de l’attaquant et tentait activement de s’engager, tout en s’engageant à rouvrir la fonctionnalité de rachat et à fournir des voies de sortie alternatives pour les fournisseurs de liquidité une fois que des mesures de sécurité seraient en place, une stratégie visant à prévenir une contagion paniquée à d’autres plateformes.

Cette approche contraste fortement avec les incidents DeFi antérieurs où une communication retardée et une portée floue ont amplifié les pertes, et elle souligne comment la maturité opérationnelle—plutôt que la prévention absolue des exploits—est devenue un différenciateur clé parmi les protocoles gérant l’infrastructure des stablecoins.

SIGNALS DE MARCHÉ ET MÉMOIRE DE LIQUIDITÉ

Ce qui rend l’épisode DUSD particulièrement instructif, c’est le contraste entre l’exploitation et la narration précédente de la liquidité de DUSD : seulement quelques mois plus tôt, en septembre 2025, la paire DUSD/USDT sur PancakeSwap avait dominé le classement TVL de la plateforme avec $129 millions, avec 82,11 millions de dollars de volume sur 24 heures et $439 millions sur sept jours, positionnant DUSD comme l’une des paires de stablecoins les plus utilisées dans certains écosystèmes de trading.

Ce contexte historique est important, car il illustre comment la profondeur de la liquidité, souvent interprétée comme un signe de stabilité, peut aussi devenir un aimant pour des attaques de précision lorsque le capital est suffisamment concentré et que les incitations économiques s’alignent, en particulier dans les pools où la parité des stablecoins est supposée plutôt que testée en continu.

En ce sens, l’exploitation ne invalide pas DUSD en tant que stablecoin, mais elle renforce une leçon récurrente de la DeFi : la liquidité n’est pas synonyme de sécurité, et les pools qui semblent les plus résilients dans des conditions normales peuvent devenir des cibles optimales en cas de conditions adverses.

UNE LEÇON PLUS LARGE SUR LES STABLECOINS

Au-delà de la perte immédiate, l’attaque par prêt flash sur DUSD met en évidence un défi structurel auquel sont confrontés les stablecoins en chaîne à mesure qu’ils se développent à travers les chaînes et les protocoles : si la composabilité permet une croissance rapide et une efficacité du capital, elle crée aussi des graphes de dépendance complexes dans lesquels des défaillances localisées peuvent produire des résultats disproportionnés pour des cohortes d’utilisateurs spécifiques.

Alors que les régulateurs, les institutions et les fournisseurs d’infrastructure examinent de plus en plus les stablecoins non seulement comme des instruments mais comme des couches de paiement et de règlement, des incidents comme celui-ci affinent la distinction entre la solvabilité du protocole et le risque au niveau de la plateforme, une nuance souvent négligée par les utilisateurs cherchant à maximiser leur rendement dans les pools de liquidité sans prendre en compte pleinement la conception des oracles, la mécanique de retrait ou les scénarios de stress adverses.

Le fait que les détenteurs de DUSD en dehors de la pool affectée soient restés indemnes pourrait finalement jouer en faveur de Makina, mais l’épisode renforce l’idée que la prochaine phase de stabilité de la DeFi dépendra moins des chiffres TVL en tête d’affiche et plus de la façon dont les protocoles architecturent leurs maillons faibles, en particulier lorsque la liquidité flash et la découverte des prix entrent en collision.

Lire la suite：

Qu’est-ce qu’un prêt flash ? Guide pour débutants

Des prêts flash à la banque mondiale : l’histoire d’Aave

〈Une attaque ciblée par prêt flash expose les failles de la liquidité des stablecoins〉 cet article a été publié pour la première fois sur « CoinRank ».