Premier grand piratage de 2026 : le protocole Truebit perd 26,4 millions de dollars en raison d'une vulnérabilité des contrats intelligents

Il s'agit du premier piratage majeur documenté de DeFi en 2026, mettant en évidence les risques de sécurité permanents dans l'écosystème Ethereum, même pour les projets ayant une longue histoire. Selon les données de CertiK, des transactions suspectes ont été détectées hier, le 8 janvier, et le pirate a réussi à retirer des fonds grâce à un exploit dans un ancien contrat intelligent.

Truebit Protocol est une plateforme de vérification des calculs sur Ethereum, qui utilise le jeton TRU pour inciter les participants au réseau. Le projet existe depuis 2020, mais la vulnérabilité était cachée dans un contrat obsolète (adresse: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), qui n'a pas fait l'objet d'un audit ou de mises à jour appropriées. À la suite de cette attaque, le prix du jeton TRU a chuté de près de 100%, passant de 0,16 $ à pratiquement zéro (0,0000000029), réduisant à néant la capitalisation boursière et la liquidité du projet.

Comment le piratage s'est-il produit exactement?

L'exploit était basé sur une erreur de débordement dans la fonction getPurchasePrice() du contrat intelligent. Cette fonction calcule le prix de la frappe (création) des jetons TRU sur la base d'une formule qui inclut l'offre totale de jetons, la réserve d'ETH et le montant que l'utilisateur souhaite acheter. Plus précisément:

• La formule calcule des variables telles que v9 = 200 * total_supply * amount * reserve et v12 = 100 * amount * amount * reserve.
• Ensuite, v9 + v12 sont additionnés et le résultat est divisé par une autre variable (v6).
• Le problème se pose avec des valeurs élevées du paramètre "amount": la somme v9 + v12 dépasse la valeur maximale d'un entier de 256 bits (2^256), ce qui entraîne un dépassement de capacité. Dans Solidity (le langage des contrats intelligents pour Ethereum), la valeur est réduite à un petit nombre, ce qui rend le prix du jeton pratiquement nul.

Le pirate a exploité cette situation en saisissant une valeur de "montant" élevée pour frapper un nombre illimité de jetons TRU pour un coût minime (presque gratuitement). Ces jetons ont ensuite été vendus dans des pools de liquidité sur Uniswap ou des plateformes similaires, en les échangeant contre de l'ETH provenant des réserves du protocole. Le processus se répétait en boucle: frappe de monnaie > vente > drainage de l'ETH. Le pirate principal (adresse: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) a extrait le montant principal, tandis qu'un second s'est emparé d'environ 250 000 dollars.

Il est intéressant de noter que les pirates ont mené de petites attaques tests sur plusieurs mois(de 2 000 à 15 000 dollars) avant de frapper un grand coup.

L'équipe Truebit a confirmé l'incident et a conseillé aux utilisateurs d'éviter d'interagir avec le contrat vulnérable. Elle coopère avec les forces de l'ordre dans le cadre d'une enquête, mais les chances de récupérer les fonds sont faibles, comme c'est souvent le cas dans les piratages de DeFi. Les analystes de Lookonchain et de Cyvers notent qu'il s'agit d'un exemple typique de vulnérabilité dans un code hérité: les anciens contrats sont souvent ignorés mais restent une cible attrayante pour les pirates.

Implications pour le marché

Ce piratage est devenu le premier coup dur porté à DeFi en 2026, nous rappelant que des vulnérabilités existent même dans des projets "établis". Les pertes totales dues aux piratages de crypto-monnaies en 2025 ont dépassé les 2 milliards de dollars, et la tendance se poursuit. Il est conseillé aux investisseurs de vérifier les audits des contrats et d'éviter les protocoles moins connus. Il est peu probable que Truebit s'en remette, mais l'événement pourrait encourager de meilleures pratiques de sécurité dans le secteur, telles que des audits réguliers et la migration vers de nouveaux contrats.