Des pirates informatiques dérobent des contrats intelligents oubliés : 17 millions de dollars volés en seulement 40 jours
SCAM
DeFiAu lieu de cibler les protocoles récents et bien protégés, les pirates informatiques s'attaquent de plus en plus aux anciens contrats intelligents obsolètes et tombés dans l'oubli. Au cours des 40 derniers jours (du 7 mai au 15 juin 2026), ils ont ainsi dérobé près de 17 millions de dollars à des contrats considérés comme obsolètes mais toujours actifs sur la blockchain et conservant une réelle valeur économique.
Il ne s'agit pas d'une série d'incidents isolés, mais d'une tendance qui se dessine clairement. Des contrats obsolètes continuent de détenir des fonds, des autorisations, des approbations ou un pouvoir opérationnel longtemps après que les équipes ont cessé de les gérer ou de les surveiller.
Incidents spécifiques survenus au cours des 40 derniers jours
Voici les cinq cas documentés publiquement qui constituent ce total d'environ 17 millions de dollars :
TrustedVolumes (Ethereum)
TrustedVolumes, fournisseur de liquidités et teneur de marché/résolveur utilisé par 1inch Fusion, a été victime d' une attaque ayant entraîné le vidage de ses fonds via une vulnérabilité de son proxy de swap RFQ personnalisé. L'attaquant a contourné une barrière d'autorisation et accédé à une portion de code normalement inaccessible à un appelant non fiable.
Les fonds volés comprenaient des WETH, des USDT, des WBTC et des USDC. Ces actifs ont ensuite été blanchis via Tornado Cash et d'autres services de mixage. 1inch a précisé que son protocole principal n'avait pas été affecté.
Huma Finance V1 Pools (Polygone)
Des attaquants ont exploité un bug logique dans la gestion du cycle de vie des crédits des contrats BaseCreditPool V1 obsolètes. Ils ont effectué des retraits non autorisés, drainant environ 82 316 USDC + 19 075 USDC.e.
Les pools étaient déjà en cours de liquidation. Huma Finance a rapidement suspendu les contrats concernés, publié un rapport d'analyse et confirmé que son système V2 sur Solana et les fonds des utilisateurs sur la plateforme actuelle n'étaient pas affectés.
Casier DxSale V1 (chaîne BNB)
Il s'agit de la perte la plus importante enregistrée durant cette période. Les attaquants ont vidé plus de 1 400 pools de liquidités héritées du contrat de stockage V1 (déployé en 2021).
L'exploitation de la faille a été rendue possible par un transfert de propriété antérieur du contrat de casier (269 jours auparavant) combiné à un abus de fonction privilégiée : l'attaquant a réduit les frais de modification à 1 wei, réinitialisé les horodatages des verrous et effectué des retraits par lots. Les casiers V2+ sont restés intacts.
Raydium Legacy AMM V3 (Solana)
Des pirates informatiques ont exploité cinq pools de liquidité obsolètes du programme AMM V3 de Raydium (abandonné en 2021). La vulnérabilité résidait dans une validation insuffisante des adresses de création des jetons LP.
L'attaquant a créé une fausse plateforme d'émission de jetons SPL, a émis un jeton LP contrefait et a utilisé la fonction de retrait existante pour drainer la liquidité réelle. Raydium a confirmé l'incident et s'est engagé à indemniser intégralement les utilisateurs affectés grâce à sa trésorerie. Les pools et les utilisateurs existants n'ont pas été impactés.
Aztec Connect (Ethereum)
Deux attaques distinctes, menées sur deux jours consécutifs, ont ciblé les contrats Aztec Connect obsolètes (fin de vie prévue en 2023). Ces contrats étaient immuables et les clés d'administration avaient déjà été abandonnées.
Des attaquants ont exploité une faille dans la logique de vérification des preuves (incompatibilité entre la validation des preuves ZK et les mécanismes de règlement/de secours sur la blockchain), ce qui a permis de récupérer la valeur bloquée qui ne pouvait plus être suspendue ni mise à niveau. Aztec Labs n'avait aucun contrôle sur les contrats.
Voici un tableau récapitulatif pour une consultation rapide :
Date | Protocole | Chaîne | Montant | Cause première | État du contrat |
|---|---|---|---|---|---|
7 mai | TrustedVolumes | Ethereum | ~5,87 à 6,7 millions de dollars | Contournement d'autorisation dans le proxy RFQ | Infrastructure obsolète |
11 mai | Huma Finance V1 | Polygone | ~101 000 $ | bug de logique du cycle de vie du crédit | Déprécié (en cours de suppression) |
27-29 mai | Casier DxSale V1 | Chaîne BNB | ~7,3 millions de dollars | Transfert de propriété + abus de privilège | Legacy V1 (2021) |
10 juin | Raydium Legacy AMM V3 | Solana | ~1,34 million de dollars | Défaut de validation de la fausse mine LP | Déprécié depuis 2021 |
14 et 15 juin | Aztec Connect | Ethereum | ~2,28 millions de dollars | Incohérence dans la vérification des preuves | Immuable + clés renoncées |
Ce que les projets devraient faire : un processus de retrait approprié des contrats intelligents
Désactiver l'interface ou annoncer qu'un contrat est « obsolète » ne suffit pas. Un contrat n'est véritablement mis hors service que lorsque toute valeur, autorisation et condition de confiance est complètement supprimée.
Voici ce que devrait comprendre un processus de retraite adéquat :
- Supprimer toute valeur avant de détourner l'attention Retirez tous les jetons, les liquidités et les récompenses. Fournissez aux utilisateurs des instructions de migration claires et des incitations. Aucun système ne doit cesser d'être surveillé tant qu'il est encore possible de conserver ou de transférer les actifs des utilisateurs.
- Révoquer toutes les autorisations et tous les privilèges Procédez à un inventaire complet et révoquez les approbations, les droits de propriété, les signataires, les relais, les détenteurs, les routeurs et tous les privilèges administratifs. Le fait de dire « nous n’utilisons plus ce contrat » ne signifie pas qu’il ne peut plus permettre les transferts de fonds.
- Mettre en place une surveillance pour toute activité (alertes de « résurrection ») Configurez des alertes pour les nouveaux dépôts dans les pools existants, les approbations des anciens utilisateurs, les variations de solde inattendues, les appels aux fonctions inactives et l'activité via des chemins d'accès privilégiés oubliés. Intégrez les contrats existants dans les programmes de primes aux bogues et la surveillance de sécurité.
- Ayez un plan clair pour le scénario « sans correctif ». Si un contrat est immuable ou si les clés d'administration ont été renoncées, il est impossible de le suspendre ou de le mettre à niveau. Dans ce cas, il convient de renforcer les incitations à la migration, de fournir des informations claires sur les risques et de préparer un plan d'intervention en cas d'incident.
Conclusion finale
La prochaine grande perte dans le secteur de la finance décentralisée (DeFi) ne proviendra peut-être pas d'une nouvelle fonctionnalité attrayante, mais plutôt d'un contrat qu'une équipe avait déjà déclaré obsolète, tout en le laissant économiquement fonctionnel sur la blockchain.
Les équipes de sécurité sont devenues très performantes dans l'analyse des lancements. La prochaine compétence dont le secteur a besoin est l'analyse des sorties.
Tant que la résiliation adéquate des contrats ne deviendra pas une pratique courante, les contrats existants resteront l'une des cibles les plus faciles et les plus attrayantes pour les attaquants.
Copie réussie... Merci de partager notre contenu!:
5% de bonus de dépôt jusqu'à 100 gemmes
0% de frais sur les dépôts et les retraits de peau.
11% de Bonus de Dépôt + FreeSpin
10% DE BONUS SUPPLÉMENTAIRE SUR DÉPÔT + 2 TOURS DE ROUE GRATUITS
Cas gratuit et 100% de bonus de bienvenue
5 étuis gratuits, gratuité et bonus quotidiens
3 mallettes gratuites et un bonus de 5% ajouté à tous les dépôts en espèces.
+5% sur le dépôt
Commentaires