Un attaquant a gonflé la garantie wGOOGLx à 78 fois sa valeur réelle via une manipulation d'oracle par flash loan, vidant 403 000 $ des réserves de prêt d'Edel Finance le 1er juillet.
« L'attaquant a déployé de nouveaux contrats d'exploitation et utilisé un flash loan pour fausser le taux de change entre wGOOGLx et GOOGLx, faisant ainsi évaluer la garantie enveloppée à environ 78 fois son prix correct », a déclaré Blockaid, la société de sécurité blockchain qui a signalé l'exploitation en temps réel.
La manipulation ciblait les réserves de prêt xStock d'Edel sur Ethereum. Les oracles Chainlink ont correctement rapporté le prix de l'action Alphabet à environ 357 $ — le défaut résidait dans le mécanisme d'enveloppement qui convertit GOOGLx en sa forme enveloppée wGOOGLx, et non dans le flux de prix lui-même. L'attaquant a emprunté des actifs réels contre la garantie fantôme, puis a déplacé les fonds volés via Tornado Cash, selon les archives d'Etherscan.
Edel a suspendu tous les contrats V1, absorbé la mauvaise dette, et promis une restauration 1:1 pour les déposants. L'équipe déploie la V2 avec une architecture d'oracle repensée et a proposé à l'attaquant un règlement whitehat. Cet incident met en lumière les risques persistants liés aux actifs du monde réel tokenisés, où les étapes d'enveloppement et de conversion ajoutent des surfaces d'attaque au-delà de la manipulation standard des oracles.
La valeur totale verrouillée sur Edel Finance est passée d'environ 630 000 $ à environ 947 $ après l'exploitation, selon les données de DefiLlama, les utilisateurs se précipitant pour retirer leurs fonds. Le protocole a enregistré une sortie nette estimée à 630 000 $, la plus importante jamais enregistrée.
Cette exploitation s'ajoute à une première moitié de 2026 brutale pour la sécurité DeFi. Les pertes cumulées dans le secteur ont dépassé 1,1 milliard de dollars, la manipulation des oracles et des taux de change figurant parmi les vecteurs d'attaque les plus courants, selon CertiK. Rien qu'en avril, on a dénombré entre 28 et 30 incidents de piratage distincts, totalisant plus de 625 millions de dollars.
Cet article est fourni à titre d'information uniquement et ne constitue pas un conseil en investissement.