Le chaos Web3 frappe durement : des millions drainés en seulement deux semaines de 2026 – Rapport

Extropy rapporte des piratages majeurs en crypto en janvier 2026. Truebit perd 26 millions de dollars, une fuite de données Ledger expose ses utilisateurs, et les attaques de phishing connaissent une hausse.

Les deux premières semaines de 2026 ont été marquées par une vague d’incidents de sécurité sur l’ensemble des plateformes Web3.

Extropy a publié son rapport Security Bytes documentant ces événements. Les conclusions dressent un tableau préoccupant du paysage actuel des menaces.

Selon le rapport, les attaquants ont poursuivi leurs opérations pendant la période des fêtes. Les dégâts allaient d’exploits de plusieurs millions de dollars à des campagnes de phishing sophistiquées.

Truebit Protocol Perd $26 Millions à cause d’une faille dans le code legacy

Le premier incident majeur de l’année a touché Truebit Protocol le 8 janvier. Un attaquant a drainé environ $26 million dans ce que Extropy qualifie d’exploit de “code zombie”.

La vulnérabilité provenait d’un dépassement d’entier dans d’anciens contrats intelligents. Ces contrats plus anciens ne disposaient pas des protections natives contre le dépassement de Solidity moderne. L’attaquant a créé des millions de tokens TRU à coût quasi nul.

Une fois créés, les tokens ont été renvoyés dans le protocole. Toute la liquidité disponible a disparu en quelques heures. Le prix du token TRU s’est effondré de près de 100 % en seulement 24 heures.

Extropy note que l’attaquant a immédiatement transféré 8 535 ETH via Tornado Cash. Des sociétés de sécurité ont ensuite relié le portefeuille à une précédente exploitation du Sparkle Protocol. Cela suggère un récidiviste ciblant spécifiquement des contrats abandonnés.

Le rapport met en garde contre la persistance des contrats legacy comme vulnérabilité critique. Les projets doivent surveiller ou déprécier activement le vieux code.

TMXTribe subit une fuite de 1,4 million de dollars en 36 heures

Entre le 5 et le 7 janvier, TMXTribe a subi une attaque plus lente mais tout aussi dévastatrice. La fourche GMX sur Arbitrum a perdu 1,4 million de dollars sur 36 heures consécutives.

Extropy décrit l’exploit comme mécaniquement simple. Une boucle a créé des tokens LP, les a échangés contre des stablecoins, puis a déstaké à plusieurs reprises. Les contrats non vérifiés ont empêché une analyse publique de la faille exacte.

Ce qui a le plus inquiété les chercheurs, c’est la réponse de l’équipe. Selon le rapport, les développeurs sont restés actifs sur la chaîne tout au long de l’attaque. Ils ont déployé de nouveaux contrats et effectué des mises à niveau pendant le drain.

Cependant, ils n’ont jamais déclenché une fonction d’arrêt d’urgence. À la place, l’équipe a envoyé un message de bounty sur la chaîne à l’attaquant. Le voleur l’a ignoré, a transféré les fonds vers Ethereum, et les a blanchis via Tornado Cash.

Extropy se demande si cela relève de la négligence ou de quelque chose de pire. Le rapport souligne que les contrats non vérifiés constituent des signaux d’alarme pour les utilisateurs.

Dans les premiers jours de janvier, nous avons déjà vu tout le spectre des modes d’échec du Web3 : contrats zombie imprimant de l’argent, gouvernance se transformant en guerre civile, forks non vérifiés saignant lentement, fuites de la chaîne d’approvisionnement mettant les utilisateurs en danger physique, phishing qui arme… https://t.co/ev1flKir3D

— Extropy.io (@Extropy) 13 janvier 2026

Les clients Ledger face à des risques de sécurité physique

Le 5 janvier, Ledger a confirmé une fuite de données affectant sa clientèle. La faille provenait du processeur de paiement Global-e, et non du matériel Ledger.

Les noms des clients, adresses de livraison, et informations de contact ont été compromis. Extropy met en garde contre la création de scénarios de type “clé à molette” par des experts en sécurité. Les attaquants disposent désormais d’une liste de propriétaires de portefeuilles crypto hardware et de leur localisation.

Le rapport souligne une ironie amère. Ledger a déjà été critiqué pour faire payer des fonctionnalités de sécurité. Maintenant, leur processeur de paiement a exposé les utilisateurs à un danger physique sans coût supplémentaire.

Extropy conseille aux utilisateurs de s’attendre à des tentatives de phishing sophistiquées. Les données volées permettent aux attaquants d’établir une confiance fausse via des communications personnalisées.

_Lecture recommandée : _****Un résumé des incidents de sécurité entourant les portefeuilles Ledger

Campagne de phishing MetaMask drainant 107 000 dollars

Le chercheur en sécurité ZachXBT a signalé une opération de phishing sophistiquée ciblant les utilisateurs MetaMask. La campagne a drainé plus de 107 000 dollars de centaines de portefeuilles.

Les victimes ont reçu des e-mails professionnels affirmant une mise à jour obligatoire en 2026. Les messages utilisaient des modèles marketing légitimes et comportaient un logo MetaMask modifié. Extropy décrit le design “chapeau de fête” du renard comme étrangement festif.

L’arnaque évitait de demander les phrases de récupération. À la place, elle incitait les utilisateurs à signer des approbations de contrat. Cela permettait aux attaquants de déplacer un nombre illimité de tokens depuis les portefeuilles des victimes.

En limitant les vols individuels à moins de 2 000 dollars, l’opération évitait les alertes majeures. Extropy souligne que les signatures peuvent être aussi dangereuses que des clés divulguées.