Yield, un protocole de finance décentralisée (DeFi), a perdu 3,73 millions de dollars lors d'une opération de trading. Cela résulte d'un slippage extrême, où 3,84 millions de GHO ont été échangés contre seulement 112 000 USDC.
Selon Perkshield, la transaction impliquait six tokens différents et utilisait deux plateformes DeFi, dont Uniswap V4 et Bancor. Plusieurs transferts internes d'ETH ont été effectués pour faciliter l'échange, y compris des transferts depuis les pools Uniswap vers des contrats Wrapped Ether, ainsi que des adresses de swap et de convertisseur Bancor.
Le slippage et les difficultés de liquidité causent des pertes de plusieurs millions
La transaction principale a envoyé 3 840 651 stkGHO depuis le pool Uniswap. Ensuite, de plus petites quantités de tokens stkGHO et GHO ont été transférées à travers divers pools de liquidité et convertisseurs.
#PeckShield Yield (@yield) a subi une perte financière majeure totalisant environ 3,73M$.
La perte a eu lieu lors d'une opération de Vault impliquant un échange de $stkGHO vers $USDC ; en raison d'un slippage extrême, 3,84M $GHO ont été échangés contre seulement 112K $USDC. pic.twitter.com/jB5c1Zjm6m
— PeckShield (@PeckShield) 13 janvier 2026
Le plus grand transfert d’ETH était de 24,99 ETH, soit environ 78 368 dollars, provenant d’un pool Uniswap V4. De plus petits transferts, allant de fractions d’ETH à plusieurs ETH, ont également été observés. Ceux-ci ont servi au règlement privé entre pools de liquidité et agrégateurs de swap. Plusieurs transactions de tokens ERC-20 ont également eu lieu.
De petits transferts de tokens, dont 11 127 stkGHO, d'une valeur d'environ 11 118 dollars, et 2 707 stkGHO, d'une valeur de 2 705 dollars, ont contribué à la transaction globale, mais n'ont pas eu beaucoup d'effet sur la perte totale.
La transaction a été rapidement approuvée on-chain, avec plus de 7 200 confirmations de bloc enregistrées. Les frais de gas n'étaient que de 1,03 dollar, ce qui souligne que la perte n'est pas due aux coûts de transaction, mais entièrement causée par le slippage et les problèmes de liquidité.
Yield agit comme une couche de coffre-fort qui distribue des fonds à des dizaines de plateformes DeFi avec une “optimisation ajustée au risque”. Mais le slippage est le plus vieux piège de la DeFi. Si les contrôles ne fonctionnent pas, les limitations, le routage, les vérifications de liquidité et “l’optimisation” peuvent tous se transformer en dons.
Les utilisateurs dont les actifs sont déposés dans le vault affecté pourraient voir leur solde diminuer, bien que l’ampleur de l’impact individuel n’ait pas été révélée. La réponse du protocole et les éventuelles mesures correctives, comme l’ajustement des limites de slippage ou des paramètres de taille de transaction, restent en attente.
Les incidents de slippage et de manipulation DeFi augmentent
Des incidents DeFi antérieurs incluent des pertes plus modestes liées au slippage sur des protocoles comme Yearn Finance, qui ont entraîné une perte d'environ 63 % de la valeur du LP. Les pertes se sont élevées à 1,4 million de dollars avant tout retour de fonds, soit environ 2 % de la trésorerie totale.
Outre le slippage, ces plateformes sont très vulnérables aux attaques. Le mois dernier, YearnFinanceV1 a subi un hack ayant entraîné des pertes d’environ 300 000 dollars. Les fonds volés ont été échangés contre 103 Ether et sont désormais stockés à l’adresse 0x0F21…4066, selon des images Etherscan partagées par l’entreprise. Le chercheur Li a découvert que l’exploit était similaire à une attaque survenue en 2023, ayant conduit à des pertes supérieures à 10 millions de dollars.
Dans le même temps, Cryptopolitan a rapporté une perte de 2,7 millions de dollars à partir d’un ancien contrat appartenant à Ribbon Finance, la version renommée de Aevo. Cette attaque impliquait des interactions répétées avec un contrat proxy admin à l’adresse 0x9D7b…8ae6B76. L’attaquant a invoqué des fonctions telles que transferOwnership et setImplementation pour manipuler les proxies de price-feed via des appels delegate.
Hyperliquid vault a également récemment subi une perte de près de 5 millions de dollars lors d’une attaque de manipulation POPCAT. Un trader a divisé ses positions sur plusieurs portefeuilles, a manipulé le marché, puis l’a laissé revenir à la normale, laissant le coffre de liquidité de la plateforme absorber 4,9 millions de dollars de pertes à la liquidation de la position.
