GoPlus : Le contrat contrefait de ListaDAO, portant un nom similaire, a été la cible de pirates informatiques, mais le contrat officiel de ListaDAO n'a pas été affecté.

En réponse à la récente attaque contre le contrat « ListaDAOLiquidStakingVault », ListaDAO a publié un communiqué officiel précisant que le contrat attaqué n'avait pas été déployé par l'équipe officielle, mais qu'il s'agissait plutôt d'un contrat contrefait créé par un tiers non vérifié utilisant un nom similaire. Tous les contrats officiels de ListaDAO n'ont pas été affectés par cet incident.

Selon une analyse approfondie de l'équipe de sécurité de GoPlus, l'attaque a eu lieu le 16 avril 2026 et sa cause première était une faille dans la logique métier du contrat avec un tiers. Lorsqu'un transfert de jetons était effectué, il déclenchait la fonction Dividend.setShares() et modifiait la comptabilisation des parts au sein du contrat, ce qui affectait à son tour le calcul de la récompense dans la fonction claimReward() . L'attaquant a exploité cette vulnérabilité pour épuiser les ressources du contrat.

GoPlus rappelle que, puisque cette faille logique existe dans les deux segments du code du contrat mentionnés ci-dessus, tout projet de développement qui duplique ou réutilise ce code court un risque élevé d'exploitation. Il est recommandé aux développeurs concernés de procéder rapidement à des inspections et corrections de code, et de mettre en œuvre des mécanismes d'audit continus afin de garantir la sécurité des contrats intelligents.