Paradex de nouveau attaqué par des hackers : pourquoi 57 clés compromises n'ont pas entraîné de vol de fonds

2026-01-21 08:42:53

La plateforme de dérivés décentralisée Paradex a connu deux incidents majeurs de sécurité en seulement deux jours. Après une panne du 19 janvier qui a affiché le prix du Bitcoin à zéro, la plateforme a confirmé aujourd’hui que le robot de trading Mithril intégré avait été victime d’une attaque de hackers, entraînant la fuite des sous-clés d’environ 57 utilisateurs. Mais contrairement à ce que l’on aurait pu craindre, cet incident n’a finalement pas entraîné de pertes pour les fonds des utilisateurs. La clé réside dans la conception des permissions : les sous-clés compromises ne peuvent être utilisées que pour exécuter des transactions, sans pouvoir toucher au solde du portefeuille utilisateur.

Fuite de clés mais sécurité des fonds : pourquoi ?

Portée réelle de l’attaque

Selon les divulgations officielles de Paradex, les hackers ont infiltré le système interne de Mithril, ce qui a conduit à la fuite des sous-clés d’environ 57 utilisateurs. Il est important de préciser un point clé : ce ne sont pas les clés maîtresses des utilisateurs qui ont été compromises, mais uniquement des “sous-clés” dédiées à l’exécution des transactions.

Ce découpage des permissions est crucial. Paradex explique que ces sous-clés ont été conçues comme “avec permissions limitées”, notamment :

Opérations autorisées : passer des ordres, ajuster des positions, clôturer des positions
Opérations interdites : retirer des fonds, transférer des soldes, modifier les paramètres du compte

Cela signifie que même si un attaquant parvenait à obtenir ces clés, il ne pourrait effectuer que des opérations dans le cadre du compte utilisateur, sans pouvoir transférer de fonds. Cette architecture à plusieurs niveaux de permissions joue un rôle de pare-feu en situation critique.

Réponse d’urgence de Paradex

Dès la détection de l’incident, Paradex a rapidement pris des mesures :

Suspension immédiate des transferts liés à XP
Annulation de toutes les sous-clés associées à Mithril
Coupure de l’accès aux robots compromis
Appel aux utilisateurs pour vérifier et révoquer les autorisations accordées à des outils externes

La rapidité de la réponse a permis à la plateforme d’éviter une escalade du risque.

Risques systémiques derrière ces deux incidents

Problèmes successifs à court terme

Ce qui est encore plus préoccupant, c’est que Paradex a connu deux événements majeurs en 48 heures :

Événement	Date	Cause	Impact	Résultat
Panne système	19 janvier	Erreur lors de la migration de la base de données	Prix du Bitcoin affiché à 0, liquidation massive	Rollback de la chaîne, indemnisation de 650 000 USD
Vulnérabilité de sécurité	21 janvier	Robot piraté	Fuite des clés de 57 utilisateurs	Annulation des clés, sans perte de fonds

Ces deux incidents, bien que de nature différente, révèlent un problème commun : la gestion des risques dans l’écosystème de trading automatisé DeFi reste fragile.

La double lame des outils d’automatisation DeFi

Cet épisode rappelle que, si les outils automatisés tiers peuvent améliorer l’efficacité des transactions, ils comportent aussi des risques. Parmi ceux-ci :

Risque technique : défaillances de maintenance ou bugs pouvant entraîner des liquidations inattendues
Risque de sécurité : les robots tiers peuvent eux-mêmes devenir des cibles d’attaque
Risque de permissions excessives : une autorisation trop large peut avoir des conséquences désastreuses

La capacité de Paradex à traverser cette crise sans pertes majeures repose principalement sur une conception de permissions adaptée. Cependant, tous les plateformes ne disposent pas de telles protections.

Enseignements pour les utilisateurs et le marché

Conseils pour les utilisateurs

Vérifier régulièrement les outils externes autorisés, en ne conservant que ceux nécessaires et de confiance
Favoriser les plateformes et outils avec une conception à permissions hiérarchisées
Surveiller la sécurité et la capacité de réponse d’urgence des plateformes
Ne pas dépendre excessivement d’un seul outil automatisé

Réflexions pour le marché

Ces incidents montrent que l’écosystème de trading automatisé DeFi doit encore renforcer ses standards de sécurité. Si certains utilisateurs saluent la réactivité de Paradex, d’autres soulignent qu’une réponse rapide ne suffit pas : il faut aussi renforcer en profondeur la conception des systèmes et la gestion des risques.

En résumé

L’incident de piratage de Paradex aurait pu être catastrophique, mais s’est finalement soldé sans pertes. La conception des permissions a joué un rôle clé pour éviter le pire. Cependant, la succession de deux incidents majeurs en peu de temps met en lumière des axes d’amélioration en matière de gestion technique et de sécurité. Pour les traders, l’équilibre entre commodité et sécurité n’a jamais été aussi crucial. Choisir des outils automatisés ne doit pas se limiter à leurs fonctionnalités, mais aussi à la qualité de la conception des permissions, à la sécurité et à la gestion des risques. Le développement de la DeFi doit privilégier la fiabilité autant que la facilité d’utilisation.

BTC-0,32%

MITH-0,27%

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.