Contrats non vérifiés devenus des "machines à sous" : SynapLogic attaqué 193 fois par des arbitrages, un prêt flash de 1 ETH a permis de frapper 16 000 jetons

SynapLogic的安全漏洞再次提醒我们，未经验证的合约就像一扇敞开的门。根据最新消息，CertiK监测到与SynapLogic相关的未经验证合约出现193笔可疑交易，攻击者通过闪电贷和合约函数重复调用实现了高效套利。这次事件虽然涉及的单个币种市值有限，但暴露的攻击模式值得关注。

Attaque et analyse des méthodes

Cette attaque n’est pas très complexe dans sa logique centrale, mais son efficacité est élevée. Selon les données de surveillance, l’attaquant a adopté les étapes suivantes :

• Emprunter 1 ETH via un prêt flash (sans garantie, à rembourser dans la même transaction)
• Utiliser l’ETH emprunté pour appeler une fonction du contrat SynapLogic
• Répéter la logique du contrat pour frapper 16 000 tokens SYP
• Rembourser l’ETH avant la fin de la transaction, complétant ainsi la boucle d’arbitrage
• Utiliser plusieurs adresses nouvelles pour disperser les opérations, réduisant ainsi le risque de traçage

Cette combinaison d’attaque “prêt flash + vulnérabilité du contrat” n’est pas nouvelle dans le domaine DeFi, mais chaque succès souligne un défaut évident dans la gestion des risques par le projet.

Contexte du projet et évaluation des risques

Selon les informations publiques, SYP est le token du projet Sypool, lancé le 21 septembre 2021. Mais d’après les données du marché, il s’agit d’un projet très petit :

Cette capitalisation signifie qu même si l’attaquant forgeait 16 000 tokens, leur valeur réelle reste limitée. Mais le problème ne réside pas dans le montant, plutôt dans la sécurité du contrat lui-même — un contrat non vérifié pouvant être exploité si facilement indique que le projet n’a pas effectué d’audit de sécurité approfondi avant le déploiement.

Pourquoi 193 opérations ?

Le fait que l’attaquant ait pu effectuer 193 opérations reflète deux problèmes :

Défaut de conception du contrat

Un contrat non vérifié signifie généralement qu’il n’a pas été examiné par une tierce partie spécialisée en sécurité (comme CertiK, Halborn, etc.). Ces contrats présentent souvent des vulnérabilités logiques, un contrôle d’accès inadéquat, des risques de reentrancy, etc.

Absence de mécanismes de protection

Un projet sérieux mettrait en place des limites de vitesse (rate limiting), un plafond par transaction, une liste blanche des appelants, etc. SynapLogic ne semble pas avoir ces protections.

La vision plus large de la sécurité on-chain

Cet incident n’est pas isolé. Selon les enregistrements récents de CertiK, les événements de sécurité on-chain sont fréquents — depuis la fraude de 2,82 milliards de dollars en début janvier, jusqu’aux exploits de vulnérabilités de contrats, en passant par le blanchiment via des pools de mixing. La gestion des risques dans l’écosystème doit encore être renforcée. La présence de sociétés comme CertiK montre une réalité : de nombreux contrats et projets non audités existent encore massivement dans Web3.

Leçons pour les investisseurs

Cette attaque offre des enseignements clairs aux investisseurs :

• Les petits tokens ne sont pas forcément moins risqués, au contraire, leur faible visibilité et leur manque de protections augmentent le risque
• Un contrat non vérifié est comme un “produit sans label”, il faut éviter d’y participer
• Même si le projet affirme être “sécurisé”, il faut vérifier l’existence d’un rapport d’audit par une autorité reconnue
• Les prêts flash, bien qu’innovants, peuvent aussi devenir des outils pour les attaquants

En résumé

L’incident de SynapLogic illustre une exploitation classique de vulnérabilités de contrat. Bien que 193 opérations soient nombreuses, elles reflètent essentiellement un même problème : un contrat non vérifié ne peut pas supporter les fonds des utilisateurs. La leçon pour toute l’industrie est que l’audit de sécurité n’est pas une option, mais une nécessité. Les projets doivent réaliser un audit sérieux avant leur lancement, et les investisseurs doivent vérifier si un tel audit a été effectué. Dans le développement rapide de Web3, la sécurité doit toujours être la priorité.