Les projets DeFi perdent 6 millions de dollars suite à une nouvelle série d'exploits cette semaine

Une vague de piratages à relativement petite échelle continue de faire des ravages sur les petits projets de cryptographie, bien qu'ils passent inaperçus par rapport aux récentes pertes gigantesques.

Jusqu’à présent cette année, le tracker de piratage de Protos affiche 77 entrées, totalisant plus de 1,1 milliard de dollars de pertes.

Avril a été un mois particulièrement difficile ; les pertes au cours de ses 33 incidents ont totalisé plus de 600 millions de dollars. Cependant, seuls deux incidents, à savoir les piratages du Drift Protocol et du pont rsETH, représentaient à eux deux 95 % des pertes du mois.

Même si le mois de mai n’a pas maintenu un rythme aussi dévastateur, une légère hausse de l’activité des pirates informatiques a permis de voler près de 6 millions de dollars sur six projets rien que cette semaine.

Lundi 11 mai : Deux (plus petits) hacks

Sur le réseau Polygon, le contrat Workspace Treasury Proxy d'Ink Finance a été exploité pour 140 000 $ lundi.

Selon l’analyse de la société de sécurité crypto SlowMist, la cause première était le manque de contrôle d’accès dans la fonction PayrollDistribution.

Huma Finance a perdu 100 000 $ le même jour, également sur Polygon. La déclaration de l’équipe insiste sur le fait que les pertes provenaient de « contrats v1 hérités » (maintenant suspendus) et que sa v2 basée sur Solana est une « réécriture complète et ce problème ne s’applique pas ».

Mardi 12 mai : Quatre hacks

Mardi soir, $TAC, une « blockchain spécialement conçue pour que les dApps EVM puissent accéder à TON », a alerté les utilisateurs d'un « incident de sécurité affectant le pont $TAC », qui avait été suspendu.

Des rapports tiers ont estimé les pertes à 3 millions de dollars en USDT, BLUM et autres jetons.

Le lendemain, l'auditeur de sécurité Peckshield a attiré l'attention sur un piratage de Transit Finance, également survenu mardi, avec 1,9 million de dollars de DAI détenus par l'exploiteur.

#PeckShieldAlert @TransitFinance semble avoir été piraté pour environ 1,88 $. Les fonds volés se trouvent actuellement à l'adresse suivante dans $DAI : 0x8a634DfA2609358849D7D65FFA270C8A57a8abA5 pic.twitter.com/9RSQkgdfX6

– PeckShieldAlert (@PeckShieldAlert) 13 mai 2026

L'équipe a publié une annonce, expliquant que les pertes provenaient de « vulnérabilités historiques » dans un contrat déployé sur TRON qui était « obsolète depuis 2022 ».

Il a déclaré que les utilisateurs « n’ont besoin de prendre aucune mesure » et que les utilisateurs concernés seront indemnisés.

Le projet avait déjà été attaqué en octobre 2022 pour plus de 20 millions de dollars, bien que la majorité des fonds aient été restitués par la suite. Selon Decurity, la perte de mardi était due à la même vulnérabilité qu’en 2022, trois ans et demi plus tard.

Mardi également, les projets DeFi Aurellion et BoostHook auraient été attaqués, perdant respectivement environ 455 000 $ et 200 000 $.

Mercredi 13 mai : Un hack, pour l’instant…

Lors de la rédaction de cet article, un autre projet aurait été piraté sur le réseau Arbitrum.

Blockaid a signalé la perte de 130 000 $ de FOX Colony, avant de souligner 50 000 $ supplémentaires récupérés par un imitateur. Le fil de discussion note que d’autres contrats similaires sont « exposés ».

Ce dernier piratage fait suite à l’annonce d’aujourd’hui selon laquelle Code4rena, une plateforme de concours d’audit de longue date, a annoncé qu’elle « cesserait ».

La plateforme de primes de bogues ImmuneFi a déclaré qu'elle reprendrait les programmes de primes de Code4rena à l'avenir.