Exploit Edel Finance : les données en chaîne montrent comment un wrapper presque vide a brisé un prêteur d'actions tokenisées
— By Tony Rabbit in News

Un jeton d'actions Alphabet enveloppé avec un marché en chaîne nul a été gonflé d'environ 78x pour drainer Edel Finance pour environ 403 000 $. Nous avons retracé la transaction d'exploit et extrait les données de garantie qui expliquent pourquoi cela a fonctionné.
Le 1er juillet 2026, un attaquant a vidé Edel Finance, un marché de prêt DeFi conçu pour les actions tokenisées, d'environ 403 000 $. Le mécanisme était inhabituel : l’oracle des prix n’était pas compromis. Chainlink a rapporté correctement le cours réel de l'action d'Alphabet tout le temps. Le point faible était la garantie elle-même, un jeton d'actions tokenisé enveloppé qui, selon les données en chaîne de DEXTools, n'a presque aucun marché derrière lui. Nous avons extrait la transaction d'exploit et les données du jeton pour montrer exactement à quel point la garantie était mince et pourquoi cela a rendu l'attaque possible.
L'incident en un coup d'œil
- Protocole : Edel Finance (Edel Lending V1), un marché de prêt Ethereum pour les actions tokenisées (xStocks).
- Quand : 1er juillet 2026, transaction d'exploit confirmée à 00:24:47 UTC dans le bloc 25434062.
- Comment : un prêt flash a financé des dépôts répétés dans un coffre-fort à jetons enveloppés, gonflant le taux de change interne du coffre-fort, de sorte que le prix de la garantie était environ 78 fois trop élevé.
- Ce n'est pas un hack de flux Oracle : le prix Chainlink pour Alphabet est resté correct à environ 357 $ tout au long.
- Conséquences : signalé en temps réel par Blockaid, les fonds ont été acheminés vers Tornado Cash et Edel a suspendu tous les contrats V1.
Ce que montre réellement la transaction d'exploit
Nous avons ouvert la transaction d'exploit sur le réseau principal Ethereum et l'avons décodée indépendamment. Il s'agit d'une transaction unique de création de contrat envoyée à partir d'un portefeuille fraîchement financé (0x5842...11C76), et c'était la toute première transaction de ce portefeuille. À l'intérieur, le reçu enregistre 502 événements, dont 228 sont des transferts de jetons ERC-20 touchant 17 contrats de jetons distincts. Cette seule transaction constitue l’intégralité de l’attaque.
Les transferts se mappent proprement sur le mécanisme. Un prêt flash stablecoin d'environ 180 000 USDC (provenant de Morpho) a fourni le fonds de roulement. L’attaquant a ensuite fait entrer et sortir le stock tokenisé d’Alphabet (GOOGLx) du coffre-fort de jetons enveloppés qui émet wGOOGLx, le jeton qu’Edel accepte comme garantie. Surtout, la transaction n’emprunte pas seulement de l’USDC. Il ouvre simultanément des positions de dette variable sur toutes les réserves du marché : nous pouvons voir les jetons de dette internes du protocole pour wGOOGLx, wSPYx, wQQQx, wMSTRx, wNVDAx et USDC, tous émis dans le cadre de la même transaction. En termes simples, l’attaquant a utilisé la garantie gonflée pour emprunter la totalité du pool de prêts, et pas seulement la réserve en dollars.
Rôles de jetons décodés à partir du reçu de transaction d'exploit sur le réseau principal Ethereum. Le portefeuille s'est ensuite vu attribuer une délégation EIP-7702, un détail cohérent avec un compte d'attaque jetable spécialement conçu.
Le mécanisme : un taux de coffre-fort, pas un flux de prix
La partie subtile est la raison pour laquelle un prix Chainlink précis n'a pas protégé le protocole. Edel a évalué la garantie wGOOGLx en lisant le propre taux de conversion du coffre-fort de jetons enveloppés, le montant de GOOGLx sous-jacent que vaut chaque action wGOOGLx. Ce taux est exposé via une interface standard de coffre-fort tokenisé, et il peut être augmenté en faisant don d'actifs directement dans le coffre-fort. Selon Edel et la société de sécurité SlowMist, l'attaquant a racheté et fait don de GOOGLx à plusieurs reprises pour faire passer le ratio actifs par action du coffre-fort d'environ 6 à près de 79. Le contrat de prêt d'Edel indiquait ce taux gonflé comme un évangile, donc une petite quantité de wGOOGLx valait soudainement environ 78 fois ce qu'elle aurait dû être, soit une surévaluation d'environ 7 700 %. L'oracle disait la vérité sur le stock ; le protocole posait la mauvaise question.
Il s'agit d'un proche cousin de la manipulation de prix classique, et il appartient à la même famille que les attaques que nous couvrons dans notre explicatif sur manipulation d'oracle dans DeFi et le vecteur de don ERC-4626 détaillé dans notre Guide d'attaque du prêt flash. La cause fondamentale évoquée par les analystes était une trajectoire de valorisation sans limite de taux ni protection contre les dons.
Les données DEXTools : pourquoi le collatéral était fragile par construction
C'est là que les données en chaîne transforment une histoire filaire en une histoire structurelle. Nous avons extrait les données des jetons DEXTools pour les actifs au centre de l'attaque. Le jeton de garantie lui-même, wGOOGLx, est en fait un actif fantôme : DEXTools le montre avec 0 détenteur, une offre totale d'environ 0,12 jeton, aucune capitalisation boursière et un score DEXT de 0. Il n'a aucun marché indépendant, mais il était utilisé pour garantir des prêts réels.
L'action tokenisée sous-jacente, GOOGLx, semble plus saine sur le papier mais raconte la même histoire en dessous. Il a une capitalisation boursière d'environ 25,7 millions de dollars, mais seulement 350 détenteurs, et son score DEXT se décompose en un sous-score de liquidité, ou pool, de seulement 1 sur 100. Un actif supposé de 25 millions de dollars avec un score de pool de 1 est un jeton qui se négocie à peine en chaîne. C’est là tout l’intérêt : lorsqu’un actif n’a pratiquement pas de marché réel, son taux de enveloppe interne est peu coûteux à déplacer.
Instantané DEXTools actuel de l'ensemble de garanties enveloppées xStock d'Edel. Le nombre de détenteurs est faible dans l’ensemble, et wGOOGLx, le jeton que l’attaquant a choisi de gonfler, était le plus vide de tous. Les valeurs sont un instantané en direct et changeront.
Lus ensemble, les chiffres expliquent la sélection de la cible. Chaque réserve enveloppée sur ce marché était petite, mais wGOOGLx était la plus mince, avec zéro détenteur et une offre négligeable. C'est précisément le jeton que vous choisiriez si votre projet consiste à modifier le taux de change d'un coffre-fort avec une poignée de dons. Vous pouvez effectuer vous-même les mêmes contrôles sur n'importe quel token avec notre Vérificateur de sécurité des jetons, et notre explicatif sur le Score DEXT couvre ce que signifie le sous-score de liquidité.
Combien a été réellement perdu
Le chiffre global est d'environ 403 000 $, le chiffre des créances douteuses confirmé par l'équipe d'Edel et cité par la plupart des médias, et il concorde avec les données de DeFiLlama montrant que la valeur totale bloquée du marché s'effondre d'environ 630 000 $ à environ 947 $, décrite comme la plus grande sortie nette jamais enregistrée. Cela vaut la peine d'être précis, car les sociétés de sécurité ont évalué la perte différemment : les estimations initiales variaient d'environ 204 000 $ (CertiK) à environ 353 000 $ (Cyvers), en passant par la perte d'environ 403 000 $ et le bénéfice de l'attaquant d'environ 305 000 $ rapportés par GoPlus. L’écart est celui habituel entre les fonds drainés, les créances douteuses résiduelles et le bénéfice net de l’attaquant. Nous traitons environ 403 000 $ comme perte de protocole et le reste comme une fourchette, et non comme un seul chiffre réglé.
Réponse et ce que cela signifie pour la DeFi à actions tokenisées
Edel a suspendu tous les contrats V1, qui restent hors ligne, et a déclaré qu'il absorberait les créances irrécouvrables et rétablirait les soldes des déposants un à un. L'équipe a proposé à l'attaquant un règlement au chapeau blanc, bien que les fonds aient déjà été acheminés vers Tornado Cash, et a déclaré qu'une V2 repensée avec un nouveau système d'évaluation était en cours de déploiement. La leçon immédiate est étroite et technique : ne dérivez jamais un prix de garantie à partir d’un taux global que n’importe qui peut faire circuler en faisant un don dans le coffre-fort.
La leçon plus large est celle que les données DEXTools rendent difficile à ignorer. Les actions tokenisées sont l'un des récits à la croissance la plus rapide en 2026, de La L2 de Robinhood à Poussée produit de Coinbase. Mais un actif peut avoir un prix réel et n’avoir pratiquement aucun marché en chaîne, et les marchés étroits constituent une garantie fragile. Nous avons fait la même remarque sur la réalité de la liquidité dans notre regard sur le trading de xStocks sur BNB Chain. Avant qu’un jeton d’actions tokenisé soit considéré comme une garantie ou quoi que ce soit, la question en chaîne n’est pas seulement de savoir quelle vaut l’action, mais aussi de savoir si le jeton a un marché. Vérifier qu'un pool ne peut pas être manipulé de manière triviale est la même discipline que vérifier un verrouillage de liquidité avant de lui faire confiance.
Méthodologie et avertissement : les faits de l'incident sont tirés des déclarations publiques d'Edel Finance et des rapports de CoinDesk, AMBCrypto, CryptoSlate et autres, avec une analyse de sécurité attribuée à Blockaid, SlowMist, GoPlus, Cyvers et CertiK. La trace de la transaction (bloc 25434062, 228 transferts ERC-20, 17 contrats de jetons) a été décodée indépendamment du réseau principal Ethereum, et les chiffres du détenteur du jeton, de la capitalisation boursière et du score DEXT sont un instantané DEXTools en direct pris peu de temps après l'événement ; toutes les valeurs de la chaîne changent avec le temps. Les estimations des pertes varient selon les entreprises et sont présentées sous forme de fourchette. Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil financier.