145 000 $ perdus après qu’un piratage de Merkl a permis de lancer des arnaques DeFi non vérifiées

Par

Shweta Chakrawarty

about 10 hours ago

La plateforme d'incitation Merkl a été exploitée par des pirates informatiques qui ont créé de faux comptes, manipulé un prix oracle et détourné plus de 145 000 USDC.

145 000 $ perdus après qu’un piratage de Merkl a permis de lancer des arnaques DeFi non vérifiées

À retenir

Résumé généré par l'IA, examiné par la rédaction.

Des pirates informatiques ont utilisé la configuration ouverte de Merkl et le protocole sans permission d'Euler pour créer un faux marché.
L'escroquerie consistait à manipuler un prix oracle pour emprunter des sommes considérables avec des garanties minimales.
Les dépôts en USDC des victimes ont été empruntés, convertis en ETH et envoyés au protocole de confidentialité RAILGUN.
Cet incident relance les appels à un renforcement des mesures de protection des utilisateurs, au-delà des simples avertissements de risques sur les plateformes DeFi.

Les pirates ont trouvé une nouvelle façon d’exploiter les utilisateurs de la finance décentralisée (DeFi). Cette fois, ils ont utilisé Merkl, une plateforme de gestion des incitations DeFi, pour créer de fausses campagnes non vérifiées et vider les dépôts des utilisateurs. L’escroquerie visait les utilisateurs de Sonic via le protocole Euler et a déjà entraîné des pertes de plus de 145 000 dollars.

Des campagnes fictives à rendements élevés

Selon l’utilisateur DeFi YAM, un acteur malveillant a profité du caractère ouvert de Merkl pour créer de fausses campagnes promettant des rendements annuels (APR) à trois chiffres. L’arnaque invitait les utilisateurs à déposer des USDC dans ce qui semblait être une véritable « vault » d’Euler sur Sonic. Mais une fois les fonds déposés, l’attaquant les a entièrement vidés.

吴说获悉，据 DeFi 玩家 YAM，黑客正在利用一站式 DeFi 协议 Merkl 创建未验证的活动以欺诈用户存款，如近期黑客通过在 Sonic 上创建三位数 APR 激励以诱导用户将 USDC 存入 Euler Vault，然后再抽干所有存款。由于 Euler…
— 吴说区块链 (@wublockchain12) October 29, 2025

Comme Euler Finance est un protocole sans autorisation, n’importe qui peut y déployer des marchés sans validation préalable. L’attaquant a exploité cette caractéristique pour créer un marché fictif, utilisant un jeton appelé scUSD comme garantie et l’USDC comme dette. Il a ensuite manipulé le prix de l’oracle — la source de données essentielle utilisée dans la DeFi — en le fixant à une valeur absurde d’un million de dollars par jeton. Cela lui a permis d’emprunter 700 000 USDC contre un seul scUSD, lui donnant de fait le contrôle total des fonds de la vault.

Comment l’arnaque a été menée

Une fois le marché fictif lancé, l’attaquant a mis en ligne une campagne non vérifiée sur Merkl, promouvant des rendements excessivement élevés pour attirer les dépôts. Les utilisateurs ayant déposé leurs USDC dans cette campagne ont vu leurs fonds empruntés, échangés contre de l’ETH, puis transférés vers le projet RAILGUN, un protocole de confidentialité souvent utilisé pour masquer les transactions.

Les données on-chain indiquent que le portefeuille principal de l’opérateur correspond à l’adresse 0x8ba913e…, les fonds ayant ensuite été envoyés vers 0xa86399… avant de disparaître dans RAILGUN. Fait notable, un utilisateur identifié par l’adresse 0xc0f8fe… a réussi à retirer son dépôt avant que l’attaquant ne le vide, probablement parce que ce dernier ne surveillait pas la vault à ce moment-là.

Réactions de la communauté DeFi

Après la découverte de l’escroquerie, YAM a exhorté les utilisateurs à faire preuve de prudence lorsqu’ils interagissent avec des campagnes non vérifiées sur Merkl. Il a également appelé l’équipe de Merkl à rendre les dépôts dans ces campagnes plus difficiles, en ajoutant notamment des avertissements contextuels plus clairs.

Michael Bentley, cofondateur et PDG d’Euler Labs, a confirmé que la vault en question était clairement signalée comme non vérifiée et classée à haut risque de sécurité. Il a précisé que le site d’Euler n’autorise l’accès à ces vaults qu’après que les utilisateurs ont manuellement activé une option reconnaissant le risque. « Nous bloquons désormais de façon permanente tous les liens menant à cette vault afin d’en empêcher toute réutilisation », a ajouté Bentley.

Des membres de la communauté ont également soulevé la question de la vérification de la légitimité des oracles utilisés par les marchés DeFi. YAM a rappelé que les oracles fournissent les données de prix du monde réel aux applications DeFi et sont souvent gérés par les administrateurs du marché, ce qui nécessite une configuration minutieuse. Une simple erreur, comme un mauvais chiffre décimal ou une multisignature mal sécurisée, peut ouvrir la voie à des exploits majeurs comme celui-ci.

Appel à un renforcement de la sécurité

Cet incident met en lumière un problème récurrent dans la DeFi : l’équilibre entre innovation sans permission et sécurité des utilisateurs. Des plateformes comme Merkl et Euler permettent à quiconque de créer ou de rejoindre librement des marchés, mais cette ouverture donne aussi une marge de manœuvre importante aux attaquants. Même si les projets signalent clairement les campagnes non vérifiées, la multiplication des arnaques montre que les avertissements ne suffisent plus.

Les utilisateurs appellent désormais à davantage de contrôles, tels que des vérifications obligatoires ou des confirmations supplémentaires avant dépôt, afin de mieux protéger les fonds. En attendant, les experts recommandent de n’interagir qu’avec des campagnes vérifiées et de vérifier attentivement les détails des contrats avant tout dépôt. L’exploitation de 145 000 dollars rappelle une fois de plus qu’au sein de l’écosystème ouvert de la DeFi, la vigilance reste la meilleure défense.