Controverse sur l'exploitation d'une vulnérabilité du protocole Ethereum Truebit : analyse complète du vol de 26 millions de dollars

L协议 de vérification et de calcul Ethereum Truebit a été victime d’une attaque exploitant une faille de contrat jeudi, entraînant une perte de plus de 26 millions de dollars en une nuit. Cet incident de sécurité grave a suscité une large attention dans la communauté cryptographique, révélant également la multiplication des risques d’attaques sur d’anciens contrats dans l’industrie. Après la révélation de l’incident, le jeton natif TRU a été massivement vendu, son prix s’effondrant instantanément de 0,16 USD à presque zéro.

Un contrat intelligent déployé il y a cinq ans devient la porte d’entrée de l’attaque

Selon les données de la plateforme d’analyse on-chain Lookonchain, les actifs volés s’élèvent à 8 535 ETH, d’une valeur d’environ 26,6 millions de dollars. L’analyste indépendant Weilin Li, à travers une analyse approfondie, a révélé que cette faille exploitée provient du code d’un ancien contrat Truebit déployé il y a cinq ans.

L’élément clé de l’attaque réside dans une faille grave dans le mécanisme de tarification de la fonction « mint » du contrat. Le hacker a habilement exploité cette vulnérabilité pour acheter massivement des jetons TRU à un coût bien inférieur au prix du marché. Weilin Li indique que cette attaque a été menée par deux hackers, dont l’un a réalisé un profit d’environ 26 millions de dollars, et l’autre d’environ 250 000 dollars.

L’équipe officielle de Truebit a rapidement publié une déclaration sur la plateforme X : « Nous avons découvert un incident de sécurité impliquant un ou plusieurs acteurs malveillants. Nous collaborons étroitement avec les autorités et prenons toutes les mesures possibles pour faire face à cette situation. »

La tendance « archéologie » devient la nouvelle mode chez les hackers, plusieurs projets DeFi en pâtissent

Il est inquiétant de constater que les attaquants innovent avec un nouveau mode d’attaque — « excavant » d’anciens contrats oubliés mais toujours dotés de permissions. Weilin Li met en garde contre cette tendance dangereuse, soulignant que ces dernières semaines, une « mode archéologique » a émergé chez les hackers, consistant à exploiter ces vieux contrats encore contrôlables pour lancer des attaques.

Des incidents similaires de sécurité se produisent fréquemment dans l’industrie. En novembre dernier, le protocole DeFi Balancer a été victime d’un piratage via une faille dans un contrat intelligent, avec plus de 120 millions de dollars dérobés. Plus récemment, plusieurs projets DeFi renommés tels que Bunni, Nemo Protocol, Hyperdrive, Yearn Finance ont également signalé des attaques sur leurs contrats, illustrant que la vulnérabilité de l’écosystème reste préoccupante.

Le prix du jeton chute brutalement puis montre des signes de rebond

Après l’incident, le jeton TRU a été massivement vendu par le marché. Selon les données récentes, le prix actuel de TRU est de 0,01 USD, ayant déjà rebondi par rapport à l’événement, avec une hausse de 5,49 % en 24 heures, mais il reste bien en dessous de 0,16 USD avant l’incident, ce qui indique que la confiance dans le projet n’est pas encore totalement rétablie.

Cet incident sonne une nouvelle alarme — avec l’expansion de l’écosystème DeFi, la sécurité des audits de contrats intelligents et leur mise à jour régulière doivent devenir une priorité pour chaque projet. Pour les investisseurs, il est désormais essentiel de bien connaître l’année de déploiement et l’état de mise à jour des contrats pour évaluer les risques.