Introduction
Le dimanche, Matcha Meta a révélé qu’une faille de sécurité liée à l’un de ses principaux fournisseurs de liquidités, SwapNet, avait compromis des utilisateurs ayant accordé des permissions à son contrat de routage. L’incident souligne comment des composants autorisés au sein des écosystèmes d’échange décentralisés peuvent devenir des vecteurs d’attaque même lorsque l’infrastructure principale reste intacte. Les premières évaluations publiques situent les pertes entre environ 13 millions de dollars et 17 millions de dollars, avec une activité sur la chaîne centrée sur le réseau Base et des mouvements cross-chain vers Ethereum. La divulgation a incité les utilisateurs à révoquer leurs permissions et a accru la vigilance quant à la sécurisation des contrats intelligents exposés aux routeurs externes.
Points clés
La faille provient du contrat de routage de SwapNet, incitant à une révocation urgente des permissions pour éviter d’autres pertes.
Les estimations des fonds volés varient : CertiK a indiqué environ 13,3 millions de dollars, tandis que PeckShield chiffre au moins à 16,8 millions de dollars sur le réseau Base.
Sur Base, l’attaquant a échangé environ 10,5 millions USDC contre environ 3 655 ETH et a commencé à transférer des fonds vers Ethereum.
CertiK a attribué la vulnérabilité à un appel arbitraire dans le contrat 0xswapnet, permettant à l’attaquant de transférer des fonds déjà approuvés.
Matcha Meta a indiqué que l’exposition était liée à SwapNet plutôt qu’à sa propre infrastructure, et les responsables n’ont pas encore fourni de détails sur une compensation ou des mesures de sécurité.
Les faiblesses des contrats intelligents continuent d’être la principale cause d’exploits cryptographiques, représentant 30,5 % des incidents en 2025, selon le rapport annuel de SlowMist.
Tickers mentionnés
Tickers mentionnés : Crypto → USDC, ETH, TRU
Sentiment
Sentiment : Neutre
Impact sur le prix
Impact sur le prix : Négatif. La faille met en évidence les risques de sécurité persistants dans la DeFi et peut influencer le sentiment de risque autour de la fourniture de liquidités responsable et de la gestion des permissions.
Idée de trading (Pas de conseil financier)
Idée de trading (Pas de conseil financier) : Conserver. L’incident est spécifique à une voie d’approbation de routage et n’implique pas directement un risque systémique plus large pour tous les protocoles DeFi, mais il justifie la prudence concernant la gestion des permissions et la liquidité cross-chain.
Contexte du marché
Contexte du marché : L’événement intervient dans un contexte de vigilance accrue sur la sécurité de la DeFi et l’activité cross-chain, où les fournisseurs de liquidités et agrégateurs s’appuient de plus en plus sur des composants modulaires. Il s’inscrit également dans un contexte de discussions évolutives sur la gouvernance en chaîne, les audits et la nécessité de mesures de sécurité robustes alors que les protocoles de premier plan et les nouveaux entrants rivalisent pour la confiance des utilisateurs.
Pourquoi cela importe
Pourquoi cela importe
Les incidents de sécurité chez les agrégateurs DeFi illustrent la persistance des surfaces de risque lorsque plusieurs couches de protocoles interagissent. Dans ce cas, la faille a été attribuée à une vulnérabilité dans le contrat de routage de SwapNet plutôt qu’à l’architecture centrale de Matcha Meta, soulignant comment la confiance est répartie à travers les composants partenaires dans un écosystème modulaire. Pour les utilisateurs, cet épisode rappelle l’importance de revoir et révoquer régulièrement les permissions de tokens, surtout après des suspicions d’activité anormale sur la chaîne.
L’impact financier, encore en évolution, renforce l’importance d’une vérification rigoureuse des fournisseurs de liquidités externes et de la surveillance en temps réel des flux de permissions. La capacité des attaquants à convertir une partie importante des fonds volés en stablecoins puis à transférer des actifs vers Ethereum met en lumière la dynamique cross-chain qui complique la traçabilité et la restitution après incident. Les échanges et chercheurs en sécurité insistent sur la valeur de scopes de permissions granulaires, limités dans le temps, et de capacités de révocation précoce pour limiter l’ampleur de telles exploits.
D’un point de vue marché, l’épisode s’inscrit dans une narration plus large sur la fragilité de la finance permissionless et la course continue à la mise en œuvre de mesures de sécurité robustes et auditable dans les couches des écosystèmes DeFi. Bien qu’il ne s’agisse pas d’une condamnation systémique de Matcha Meta, l’incident renforce les appels à des audits de sécurité standardisés pour les contrats de routage et à une responsabilité plus claire pour les modules tiers interagissant avec les fonds des utilisateurs.
Ce qu’il faut surveiller ensuite
Ce qu’il faut surveiller ensuite
Les mises à jour officielles de Matcha Meta sur la cause racine et tout plan de remédiation ou de compensation pour les utilisateurs affectés.
Les audits externes ou revues par des tiers du contrat de routage de SwapNet et les changements de gouvernance pour éviter une récurrence.
La surveillance en chaîne de l’activité du pont Base vers Ethereum liée à cet incident et les mouvements de fonds subséquents.
Les évolutions réglementaires et normatives dans la sécurité de la DeFi, notamment les cadres d’audit des contrats intelligents et les contrôles d’approbation utilisateur.
Sources & vérification
Post de Matcha Meta sur X alertant les utilisateurs de révoquer les permissions SwapNet après la faille.
Avis de CertiK identifiant l’exploit comme provenant d’un appel arbitraire dans le contrat 0xswapnet permettant le transfert de fonds approuvés.
Mise à jour de PeckShield indiquant environ 16,8 millions de dollars drainés sur Base, incluant l’échange de USDC contre ETH et le transfert vers Ethereum.
Rapport annuel SlowMist 2025 sur la sécurité blockchain et AML détaillant la répartition des incidents par catégorie, dont 30,5 % attribués aux vulnérabilités de contrats intelligents et 24 % aux compromissions de comptes.
Couverture de Cointelegraph sur l’incident Truebit, incluant une perte de 26 millions de dollars et la chute du token TRU, pour un contexte plus large sur l’exposition aux risques des contrats intelligents.
Corps de l’article réécrit
Fuite de sécurité chez Matcha Meta souligne les risques liés aux contrats intelligents dans les écosystèmes DEX
Dans le dernier exemple illustrant comment la DeFi peut être compromise de l’intérieur, Matcha Meta a révélé qu’une faille de sécurité s’était produite via l’un de ses principaux mécanismes de fourniture de liquidités — le contrat de routage de SwapNet. La conséquence pour l’utilisateur est la révocation des permissions de tokens, ce que le protocole a explicitement recommandé dans son message public. L’incident ne semble pas provenir de l’infrastructure centrale de Matcha Meta, indique la société, mais plutôt d’une vulnérabilité dans la couche de routage d’un partenaire qui a accordé des permissions pour déplacer des fonds au nom des utilisateurs.
Les premières estimations des chercheurs en sécurité situent l’impact financier dans une fourchette étroite. CertiK a quantifié les pertes à environ 13,3 millions de dollars, tandis que PeckShield chiffre au moins à 16,8 millions de dollars sur le réseau Base. La différence reflète différentes méthodes de comptabilisation en chaîne et le calendrier des revues post-incident, mais toutes deux confirment une perte significative liée à la fonctionnalité de routage de SwapNet. Sur Base, l’attaquant aurait échangé environ 10,5 millions USDC contre environ 3 655 ETH et aurait commencé à transférer les fonds vers Ethereum, selon le bulletin de PeckShield publié sur X.
À ce jour, environ 16,8 millions de dollars en cryptomonnaies ont été drainés. Sur Base, l’attaquant a échangé ~10,5M USDC contre ~3 655 ETH et a commencé à transférer des fonds vers Ethereum.
L’évaluation de CertiK fournit une explication technique de l’exploit : un appel arbitraire dans le contrat 0xswapnet a permis à l’attaquant de retirer des fonds que les utilisateurs avaient déjà approuvés, contournant ainsi un vol direct dans la pool de liquidités de SwapNet et exploitant plutôt les permissions accordées au contrat de routage. Cette distinction est importante car elle met en lumière une faille de gouvernance ou de conception au niveau de l’intégration plutôt qu’une brèche dans la garde ou la sécurité de Matcha Meta.
Matcha Meta a reconnu que l’exposition était liée à SwapNet et n’a pas attribué la vulnérabilité à sa propre infrastructure. Les demandes de commentaires concernant des mécanismes de compensation ou des mesures de sécurité n’ont pas été immédiatement répondues, laissant les utilisateurs affectés sans solution claire à court terme. L’incident illustre un profil de risque plus large pour les agrégateurs DeFi : lorsque des partenariats introduisent de nouvelles interfaces de contrat, les attaquants peuvent cibler des flux permissionnés situés à l’intersection des approbations utilisateur et des transferts automatisés.
Le paysage de la sécurité dans la crypto reste particulièrement précaire. En 2025, les vulnérabilités de contrats intelligents ont été la principale cause d’exploits cryptographiques, représentant 30,5 % des incidents et 56 événements au total, selon le rapport annuel de SlowMist. Cette part souligne comment même des projets sophistiqués peuvent être piégés par des bugs ou des erreurs de configuration dans le code régissant le transfert automatique de valeurs. Les compromissions de comptes et les comptes sociaux compromis (comme les comptes X des victimes) représentaient également une part importante des incidents, soulignant la nature multi-vectorielle des outils des attaquants.
Au-delà des angles purement techniques, l’incident alimente un discours croissant sur l’utilisation de l’intelligence artificielle dans la sécurité des contrats intelligents. Des rapports de décembre ont indiqué que des agents IA commerciaux ont détecté en temps réel pour environ 4,6 millions de dollars d’exploits en chaîne, utilisant des outils tels que Claude Opus 4.5, Claude Sonnet 4.5, et GPT-5 d’OpenAI. L’émergence de techniques d’exploration et d’exploitation assistées par IA ajoute une couche de complexité à l’évaluation des risques pour les auditeurs et opérateurs. Ce paysage de menace en évolution renforce la nécessité d’une surveillance continue, de la révocation rapide des permissions, et de mesures défensives adaptables dans les écosystèmes DeFi.
Deux semaines avant l’incident SwapNet, une autre vulnérabilité de contrat intelligent de haut profil a entraîné une perte de 26 millions de dollars pour le protocole Truebit, suivie d’une forte réaction du prix du token TRU. Ces épisodes soulignent que la couche de contrats intelligents reste une surface d’attaque privilégiée pour les hackers, même si d’autres domaines de la sphère crypto — garde, infrastructure centralisée, composants hors chaîne — sont également confrontés à des menaces persistantes. Le fil conducteur est que la gestion des risques doit dépasser les audits et programmes de bug bounty pour inclure une gouvernance en direct, une surveillance en temps réel, et des pratiques prudentes d’approbation et de transfert cross-chain.
Alors que le marché digère ces implications, les observateurs insistent sur le fait que la voie vers la résilience dans la DeFi repose sur des mesures de sécurité en couches et une réponse incident transparente. Bien que la vulnérabilité de SwapNet semble isolée à une intégration particulière, l’incident renforce une leçon centrale : même des partenaires de confiance peuvent introduire un risque systémique si leurs contrats interagissent avec les fonds des utilisateurs de manière à contourner les garde-fous standards. Le suivi en chaîne continuera de se déployer alors que les enquêteurs, Matcha Meta, et ses partenaires de liquidité mèneront des analyses forensiques pour déterminer si des victimes recevront une compensation ou si des améliorations des contrôles de risque pourront prévenir des incidents similaires à l’avenir.
Cet article a été initialement publié sous le titre Matcha Meta victime d’un piratage de contrat intelligent SwapNet de 16,8 millions de dollars sur Crypto Breaking News – votre source fiable pour l’actualité crypto, Bitcoin, et mises à jour blockchain.
Articles similaires
41 enlèvements de crypto en France en 3,5 mois ; Durov accuse des fuites de données
Message de Gate News, 24 avril — La France a connu 41 enlèvements de détenteurs de crypto-monnaies en seulement 3,5 mois en 2026, selon Pavel Durov, fondateur de Telegram, qui a attribué cette hausse à des fuites de données généralisées. Durov a souligné dans une publication sur X que des données personnelles sensibles — y compris des informations détenues par les autorités fiscales et issues d’une importante brèche à l’Agence française pour les documents sécurisés — ont révélé les noms, adresses et numéros de téléphone d’environ 19 millions de personnes, ce qui rend les détenteurs d’actifs numériques des cibles plus faciles.
Les autorités françaises ont confirmé que plus de 40 enlèvements de crypto-monnaies ou tentatives d’enlèvement ont été enregistrés depuis janvier 2026, soit une hausse marquée par rapport à environ 30 cas en 2025. D’après Philippe Chadrys, de la police judiciaire française, le modus operandi et les méthodes de ciblage varient, de nombreuses opérations étant dirigées par des réseaux opérant depuis l’étranger. Les incidents vont d’enlèvements de courte durée à des affaires violentes impliquant torture et demandes de rançon. Dans un cas récent, une femme et son fils de 11 ans ont été kidnappés en Bourgogne puis libérés après une opération policière d’envergure. Dans un autre cas à Anglet, des suspects ont kidnappé par erreur les mauvaises personnes avant d’être arrêtés. En 2025, le dirigeant marquant de l’industrie crypto David Balland a été kidnappé et a eu son doigt coupé avant d’être secouru.
Les procureurs français ont désormais inculpé 88 personnes dans le cadre d’enlèvements liés aux crypto-monnaies, dont des mineurs dans au moins une douzaine de dossiers. Durov a averti que l’élargissement de l’accès des gouvernements aux identités numériques et aux communications chiffrées pourrait aggraver la situation si les systèmes sont compromis, bien que son affirmation selon laquelle des responsables fiscaux vendraient directement des données reste non vérifiée.
La crise d’exposition des données s’étend au-delà des enlèvements. Les groupes français de protection des données font état de millions d’enregistrements compromis sur plusieurs brèches touchant des services publics et des entreprises privées. D’après Seb, président de la Fédération française pour la protection des données, la France est appelée à devenir le deuxième pays le plus piraté au monde en 2026, avec plus de 300 services français touchés, 23 millions de comptes compromis et plus de 250 millions d’enregistrements de données exposés. À elle seule, France Titres ANTS a vu plus de 11,7 millions de comptes exposés, tandis que l’Agence des paiements de l’État et des services a divulgué des informations bancaires et des numéros de sécurité sociale de millions de citoyens français.
Les enlèvements liés aux crypto-monnaies suivent généralement un schéma : les victimes sont identifiées comme détenant des actifs numériques, enlevées, puis contraintes à transférer des fonds sous la contrainte. Contrairement aux comptes bancaires traditionnels, les portefeuilles crypto peuvent être consultés instantanément si des clés privées ou des mots de passe sont révélés, ce qui en fait des cibles attrayantes pour l’extorsion. Pendant ce temps, le Bitcoin a bondi d’environ 10 % au cours des 30 derniers jours, s’échangeant à 77 601 $ au moment de la publication, tandis qu’Ethereum a reculé de 5 % sur la semaine, à 2 315 $.
GateNewsIl y a 5h
La bourse Zondacrypto fait l’objet d’accusations de détournement de 350 millions de dollars, le PDG nie publiquement
L’un des plus grands échanges de crypto-monnaies de Pologne, Zondacrypto, a fait une déclaration publique le 16 avril sur les réseaux sociaux par son PDG, Przemysław Kral, indiquant que la plateforme ne parvenait pas à accéder à un portefeuille contenant 4 503 bitcoins, d’une valeur actuelle de plus de 350 millions de dollars. Kral a publié l’adresse du portefeuille en question afin de réfuter les accusations de détournement, mais cette divulgation a immédiatement déclenché un large retrait.
MarketWhisper04-24 02:59
CryptoQuant : Le lancement d’une faille de KelpDAO déclenche la crise la plus grave depuis 2024, le TVL d’Aave chute de 33 %
Selon l’évaluation de CryptoQuant du 23 avril, l’attaque par faille de KelpDAO survenue la semaine dernière a exposé Aave, dans un délai de 72 heures, à un risque potentiel de créances irrécouvrables allant de 124 à 230 millions de dollars, tandis que le TVL a chuté de 33 %. Les taux d’emprunt des prêts en USDT et USDC sont passés de 3,4 % à 14 %, et le taux d’emprunt de l’ETH a atteint le niveau le plus élevé depuis janvier 2024, à 8 %.
MarketWhisper04-24 02:13
Le CoW DAO propose un programme de subventions discrétionnaires pour indemniser les victimes du piratage de domaine
Message de Gate News, 24 avril — Le CoW DAO a proposé de mettre en place un programme de subventions discrétionnaires afin d’indemniser les utilisateurs qui ont subi des pertes lors de l’incident de piratage du domaine cow.fi du 14 avril. Le programme offrira un remboursement pouvant aller jusqu’à 100 % des pertes au moyen d’une allocation unique provenant du fonds de réserve de la défense juridique pour les victimes éligibles ayant signé des transactions malveillantes sur des sites Web de phishing se faisant passer pour CoW Swap
GateNews04-24 01:52
La plus grande bourse de Pologne fait face à des allégations de $350M escroquerie
Zondacrypto fait l’objet d’accusations de détournement de fonds, son PDG, Przemysław Kral, affirmant que la plateforme d’échange a perdu l’accès à un portefeuille contenant plus de 4 500 BTC. Kral a déclaré que le portefeuille avait été vendu à la plateforme d’échange, mais que son ancien propriétaire a disparu avant de livrer les clés privées.
Clé
Coinpedia04-23 23:43
JPMorgan : Les failles de sécurité de la DeFi et une TVL en stagnation limitent l’adoption institutionnelle
Message de Gate News, 23 avril — Des analystes de JPMorgan, menés par le directeur général Nikolaos Panigirtzoglou, ont déclaré que des exploits persistants de la finance décentralisée (DeFi) et une croissance faible continuent de limiter l’intérêt institutionnel pour le secteur. Le récent piratage du Kelp DAO a effacé environ $20 milliard de la valeur totale verrouillée de DeFi TVL en seulement quelques jours, selon le rapport du mercredi.
GateNews04-23 17:53
