Incident de Sécurité sur le Protocole HyperDrive DeFi
Le protocole HyperDrive DeFi a subi un exploit de 773 000 $, affectant deux comptes dans son marché des Treasury Bills. Les fonds volés ont été répartis entre les réseaux BNB Chain et Ethereum via des transferts inter-chaînes. L’attaque a compromis des positions utilisant le thBILL de Theo Network comme garantie, entraînant la suspension immédiate de tous les marchés monétaires et des retraits sur la plateforme. Il s’agit du deuxième exploit majeur frappant l’écosystème Hyperliquid en 72 heures.
Analyse de l’Exploitation
L’analyse de CertiK a révélé que l’attaquant a exploité une vulnérabilité d’appel arbitraire dans le contrat de routeur, volant 672 934 USDT et 110 244 tokens thBILL. Les fonds volés ont été transférés via le protocole deBridge, avec environ 494 000 $ déplacés vers Ethereum et 279 000 $ vers BNB Chain avant d’être consolidés à une seule adresse. Cet incident marque la deuxième violation majeure de sécurité ciblant l’écosystème Hyperliquid en trois jours, après le rug pull de 3,6 millions de dollars de HyperVault, où les développeurs ont disparu après avoir supprimé tous leurs comptes de médias sociaux.
« La succession rapide des attaques soulève des inquiétudes quant à la posture de sécurité des projets construits sur la plateforme d’échange décentralisée. »
Les responsables de HyperDrive ont confirmé que l’exploit était limité au marché primaire USDT et au marché USDT Treasury, sans impact sur le token natif HYPED du protocole. L’équipe a engagé des experts en sécurité et en criminalistique tout en explorant des plans de compensation pour les utilisateurs affectés.
Vulnérabilité et Réactions
La vulnérabilité du routeur permet l’extraction systématique de fonds. L’attaquant a exploité à plusieurs reprises une faille critique dans le contrat de routeur de HyperDrive, permettant des appels de fonction arbitraires, contournant ainsi les restrictions de sécurité normales et drainant les fonds des utilisateurs. L’analyse forensic de CertiK a identifié la vulnérabilité spécifique qui a permis l’extraction systématique de fonds du marché des Treasury Bills thBILL.
Notamment, les experts en sécurité ont spéculé que l’approche méthodique de l’attaquant suggère un haut niveau de connaissance des mécanismes internes du protocole et de l’architecture des contrats intelligents. Ils ont noté que les fonds volés ont été rapidement déplacés hors chaîne via deBridge, un protocole inter-chaînes facilitant les transferts d’actifs entre différents réseaux blockchain.
L’équipe de HyperDrive a contacté l’exploitant sur la chaîne, offrant une prime de 10 % pour le retour des fonds restants. Le protocole a suspendu toutes les opérations de marché et les fonctions de retrait pour prévenir toute activité malveillante supplémentaire tout en enquêtant sur l’ampleur complète de la compromission.
Conséquences et Réactions de l’Écosystème
L’incident a incité à des examens de sécurité plus larges dans l’écosystème de Hyperliquid, alors que plusieurs projets construits sur la plateforme font face à un examen accru suite à la récente vague d’exploits et de rug pulls. L’écosystème Hyperliquid est sous le coup de multiples menaces. L’exploit de HyperDrive ajoute une pression sur Hyperliquid après le dévastateur rug pull de HyperVault juste 48 heures plus tôt.
Les incidents de sécurité précédents incluent la manipulation du token JELLY en mars, qui a coûté 13,5 millions de dollars au coffre de Hyperliquid par le biais de pompage de prix artificiel et d’exploitation de positions à effet de levier. De plus, ASTER DEX défie la domination du marché de Hyperliquid, traitant plus de 13 milliards de dollars de volume de contrats à terme perpétuels quotidiens.
Développements Récents
Arthur Hayes a précédemment liquidé l’intégralité de sa position HYPE pour un profit de 823 000 $, citant d’énormes déblocages de tokens d’une valeur de 11,9 milliards de dollars. Malgré les défis de sécurité, Hyperliquid a lancé son stablecoin natif USDH le 24 septembre, générant 2,2 millions de dollars de volume de trading précoce. La plateforme a également activé le trading au comptant HYPE/USDH après l’engagement de trois ans de Native Markets à staker 200 000 tokens HYPE.
Suite au mouvement de baleine de Hayes pour se débarrasser de HYPE, le gestionnaire d’actifs DBA a proposé de réduire l’offre totale de HYPE de 45 % pour améliorer la tokenomics. Cependant, les critiques ont averti que cela pourrait limiter la flexibilité de croissance future.
