J'ai regardé le détail de l'attaque sur sDOLA LlamaLend et c'est pas mal comme démonstration de ce qui peut mal tourner avec les prêts flash.

En gros, l'attaquant a réussi à manipuler le prix du sDOLA en utilisant des prêts flash combinés à des dons. Le taux de change a grimpé de 1,189 DOLA jusqu'à 1,353 DOLA - c'est une hausse assez brusque pour que les algorithmes de santé des comptes se fassent avoir. Plusieurs positions dans le contrôleur crvUSD sont passées en dessous de zéro d'un coup.

Là où c'est vicieux, c'est que l'attaquant s'est positionné comme liquidateur. Pendant que tout le monde regardait ailleurs, il a réclamé les récompenses de liquidation, les a revendues, remboursé son prêt flash et s'est tiré avec environ 240 000 $ de profit. C'est le genre d'attaque qui montre pourquoi les oracles de prix et les mécanismes de liquidation restent des points sensibles.

Le truc intéressant, c'est que ce n'est pas une nouvelle vulnérabilité - les prêts flash sont connus depuis longtemps. Mais ça montre qu'il faut vraiment bien penser ses protections si on gère un protocole de prêt. Des cas comme celui-ci, ça aide à comprendre pourquoi les audits de sécurité et les tests de résistance du stress sont critiques dans ce domaine.