Six projets DeFi victimes d’exploits pour 6 millions de dollars en une semaine

Les protocoles de finance décentralisée (DeFi) continuent de subir des attaques malgré leur taille modeste, souvent éclipsées par les pertes colossales des grands protocoles. Selon les données de Protos, 77 incidents ont déjà été recensés depuis le début de l’année, pour un total dépassant 1,1 milliard de dollars. Le mois d’avril a été particulièrement dévastateur, avec 33 attaques totalisant plus de 600 millions de dollars de pertes, principalement concentrées sur deux protocoles : Drift Protocol et rsETH bridge.

Bien que mai n’ait pas atteint un niveau aussi critique, une recrudescence des activités malveillantes a permis à des pirates de s’emparer de près de 6 millions de dollars en seulement six jours cette semaine.

Lundi 11 mai : deux attaques ciblent des protocoles sur Polygon

Le réseau Polygon a été le théâtre de deux exploits le 11 mai. Le contrat Ink Finance’s Workspace Treasury Proxy a été piraté pour 140 000 dollars. L’analyse de la société de cybersécurité SlowMist a révélé que la faille provenait d’un manque de contrôle d’accès dans la fonction PayrollDistribution.

Le même jour, Huma Finance a subi une perte de 100 000 dollars sur Polygon. L’équipe a précisé que ces fonds provenaient de contrats legacy v1 désormais suspendus, et que leur version Solana v2, entièrement repensée, n’est pas concernée par cette vulnérabilité.

Mardi 12 mai : quatre attaques en une seule soirée

Le 12 mai au soir, TAC, une blockchain conçue pour les applications décentralisées (dApps) compatibles avec la machine virtuelle Ethereum (EVM) afin d’accéder au réseau TON, a signalé un incident de sécurité affectant son pont (bridge) entre blockchains. Le protocole a été temporairement suspendu. Selon des estimations tierces, les pertes s’élèveraient à 3 millions de dollars en USDT, BLUM et autres tokens.

Le lendemain, l’auditeur de sécurité PeckShield a révélé le piratage de Transit Finance, également survenu le mardi 12 mai. Le pirate a dérobé l’équivalent de 1,9 million de dollars en DAI. L’adresse du portefeuille du malfaiteur est désormais publique : 0x8a634DfA2609358849D7D65FFA270C8A57a8abA5.

Transit Finance a publié un communiqué expliquant que les pertes provenaient de vulnérabilités historiques dans un contrat déployé sur TRON, déprécié depuis 2022. L’équipe a rassuré les utilisateurs en indiquant qu’aucune action n’était requise et que les victimes seraient indemnisées. Ce protocole avait déjà été attaqué en octobre 2022, avec des pertes dépassant 20 millions de dollars, dont la majorité avait finalement été récupérée. Selon Decurity, l’exploit du 12 mai exploitait la même faille que celle de 2022, trois ans et demi plus tard.

Toujours le 12 mai, deux autres projets DeFi, Aurellion et BoostHook, ont été victimes d’attaques, perdant respectivement environ 455 000 dollars et 200 000 dollars.

Mercredi 13 mai : une nouvelle attaque signalée sur Arbitrum

Alors que cet article était en cours de rédaction, une nouvelle attaque a été signalée sur le réseau Arbitrum. La société Blockaid a alerté sur la perte de 130 000 dollars pour FOX Colony, avant de découvrir qu’un autre pirate avait dérobé 50 000 dollars supplémentaires en exploitant un contrat similaire. Blockaid a également mis en garde contre l’exposition d’autres contrats comparables.

Cette attaque survient alors que Code4rena, une plateforme historique de concours d’audit, a annoncé son fermeture progressive. La plateforme de primes aux bugs ImmuneFi a indiqué qu’elle reprendrait les programmes de récompenses de Code4rena à l’avenir.