Un million de dollars envolé ! Moonwell victime d’une faille d’oracle sur Base et Optimism

Par

Triparna Baishnab

about 5 hours ago

Une faille de sécurité d'un million de dollars frappe Moonwell : des attaquants exploitent un flux d'oracle rsETH/ETH défectueux sur Base et Optimism. La finance décentralisée est ébranlée.

Un million de dollars envolé ! Moonwell victime d’une faille d’oracle sur Base et Optimism

À retenir

Résumé généré par l'IA, examiné par la rédaction.

Moonwell, un protocole de prêt DeFi, a été exploité sur Base et Optimism, entraînant des pertes de plus d'un million de dollars.
L'attaque a été détectée par BlockSec, une entreprise leader en matière de sécurité blockchain.
L'exploit provenait d'un flux de prix rsETH/ETH défectueux fourni par un oracle hors chaîne.
Le problème provenait d'une mise à jour du protocole qui a remplacé par erreur les données de prix correctes de l'oracle.

Une nouvelle attaque majeure a eu lieu le 4 novembre 2025 sur le protocole de prêt décentralisé Moonwell, déployé sur les réseaux Base et Optimism. La société de cybersécurité BlockSec a signalé des anomalies dans les contrats intelligents de Moonwell et découvert que les attaquants avaient exploité une erreur de tarification dans le flux de données oracle ETH/ETH.

Comment les attaquants ont exploité la faille de tarification

L’attaque a entraîné plus d’un million de dollars de pertes, l’un des plus importants piratages de la finance décentralisée (DeFi) de ces derniers mois. En manipulant le flux de prix, les pirates ont pu réaliser des opérations d’arbitrage et siphonner les fonds des pools de prêt. La différence de prix leur a permis d’emprunter sur la base de garanties artificiellement surévaluées. Les observations on-chain de BlockSec ont montré que ces transactions avaient provoqué un schéma de prix anormal et déclenché de multiples liquidations.

Impact économique et technologique sur Moonwell

Les analystes estiment que cet incident met en lumière des faiblesses dans la configuration des oracles, notamment des intervalles de mise à jour trop longs et des seuils de déviation trop larges. Ce n’est pas la première fois que Moonwell fait face à des vulnérabilités. En décembre 2024, une autre attaque avait causé plus de 320 000 dollars de pertes via un prêt flash. La répétition de ces incidents souligne les problèmes persistants liés à la fiabilité des contrats intelligents et des oracles.

Rien qu’en 2024, plus de 1,2 milliard de dollars ont été dérobés lors d’attaques visant la DeFi, les manipulations d’oracles figurant parmi les techniques les plus utilisées. Les distorsions de prix provoquées par les bots MEV représentent toujours une menace majeure pour les protocoles dépendant de données externes. Cette nouvelle faille a ravivé les inquiétudes quant à la sécurité des systèmes d’oracles dans la DeFi, comme l’ont rappelé plusieurs experts en cybersécurité. Des acteurs tels que BlockSec et PeckShield devraient publier prochainement des analyses détaillant les causes techniques de l’incident.

Une fragilité persistante de l’écosystème DeFi

L’affaire Moonwell illustre la vulnérabilité des écosystèmes DeFi malgré leur adoption croissante. Un simple paramétrage erroné d’un oracle de prix a suffi à déclencher une réaction en chaîne, causant plus d’un million de dollars de pertes en quelques minutes. Si l’intervention rapide de BlockSec a permis de limiter les dégâts, l’incident laisse un climat d’inquiétude parmi les investisseurs. Cette violation souligne l’urgence de mettre en place des mécanismes de vérification multi-sources et des mises à jour plus fréquentes des oracles pour prévenir de telles attaques à l’avenir.