Premier flash loan attack majeur sur DeFi. Quelques centaines de milliers de dollars seulement, mais lance la course à l'arms race composability sur tout l'écosystème.
Même thème
Le token OM s'effondre de 6$ à 0,50$ en moins d'une heure un dimanche soir. Soupçons de liquidation forcée d'insiders. ~5,5B$ de market cap évaporés.
Whale manipule le price feed de JELLY, force la HLP vault à prendre une position 230M$. Hyperliquid delist en urgence pour éviter une perte plus large. Débat sur la décentralisation des perp DEX.
Le plus gros hack crypto de l'histoire. Le multisig de Bybit est compromis pendant un transfert routinier. ~401 000 ETH volés. Ben Zhou rebuild en 72h grâce aux loans d'urgence des autres exchanges.
Le 15 février 2020, un inconnu vide 350 000 dollars d'un protocole DeFi en une seule transaction. Sans pirater un seul contrat. Sans laisser la moindre trace d'identité.
Tout se passe en quelques blocs Ethereum. L'attaquant emprunte un flash loan sur dYdX, sans collatéral, avec une seule règle : rembourser dans la même transaction. Il utilise cette liquidité pour manipuler l'oracle de prix de Kyber Network, le capteur qui dit à bZx combien vaut l'ETH. Avec un prix faussé, il emprunte 3 655 ETH sur bZx, soit environ 800 000 dollars à l'époque, sans jamais déposer ce qu'il faut en garantie. Il swap, rembourse le flash loan, empoche la différence. La transaction se boucle. Tout est atomique, tout est légal au sens du code.
bZx suspend les opérations dans la foulée. Le tweet officiel du protocole tombe le soir même : « Nous avons mis en pause les prêts et emprunts pour investiguer un problème potentiel. » La DeFi retient son souffle.
La perte nette reste limitée : l'attaquant restitue plus de 300 000 dollars après négociation. Mais ce n'est pas le montant qui marque les esprits. C'est la méthode. Pour la première fois, quelqu'un enchaîne plusieurs protocoles DeFi dans une seule transaction pour en exploiter les failles combinées. dYdX, Kyber, bZx : trois briques, un exploit.
La DeFi de 2020 pèse moins de 2 milliards de dollars de TVL total. Elle se croit solide parce que chaque protocole est audité séparément. L'attaque bZx démontre que la solidité individuelle ne garantit rien quand les protocoles s'imbriquent.
Dans les semaines qui suivent, Chainlink accélère son adoption comme oracle décentralisé. Les équipes relisent leurs contrats sous un angle nouveau : pas « est-ce que mon code est correct ? » mais « est-ce que mon code résiste si quelqu'un arrive avec 10 millions de liquidité instantanée ? »
Aujourd'hui, la DeFi gère des dizaines de milliards de TVL et les flash loan attacks ont coûté des centaines de millions à l'industrie. Tout a commencé avec 350 000 dollars et un oracle mal sécurisé un dimanche de février.
