Plusieurs centaines de portefeuilles Ethereum inactifs depuis plusieurs années ont été vidés de leurs fonds au cours des derniers jours, selon Cryptoast. Les transferts ont été effectués vers une unique adresse identifiée comme suspecte sur la plateforme d'exploration de blockchain Etherscan. Le montant total détourné est estimé à 800 000 dollars, avec plus de 500 portefeuilles touchés.

Cette opération s'est concentrée exclusivement sur le réseau principal Ethereum et, de manière surprenante, sur la cryptomonnaie SAI. Les fonds prélevés ont ensuite été transférés vers une adresse associée à THORChain le 30 avril dernier. L'incident met en lumière les risques liés aux failles persistantes dans les contrats intelligents, même après des années d'inactivité.

Ce qu'il faut retenir

  • 500 portefeuilles Ethereum inactifs depuis des années ont été ciblés par cette attaque
  • 800 000 dollars de fonds détournés, dont 324,7 ETH (environ 730 000 dollars) transférés vers THORChain le 30 avril
  • Seuls les actifs ETH et SAI ont été concernés par ces transferts frauduleux
  • L'adresse réceptrice est signalée comme à risque sur Etherscan, un outil d'analyse de la blockchain Ethereum
  • Cette méthode rappelle une faille exploitée en janvier 2025, également documentée par l'enquêteur crypto ZachXBT

Une faille ancienne exploitée à grande échelle

D'après les observations relayées par le compte Wazz sur le réseau social X, cette attaque pourrait s'inscrire dans le cadre d'une nouvelle exploitation de faille active. Le modus operandi évoque celui documenté en janvier 2025 par ZachXBT, qui avait alors ciblé des centaines de portefeuilles liés aux blockchains compatibles avec la machine virtuelle Ethereum (EVM).

Les transferts ont principalement visé des comptes ayant conservé des autorisations non révoquées sur des protocoles DeFi datant de la période 2018-2020. Selon Ruslan Khairullin, fondateur de la plateforme de trading russe InvestZone, « le schéma ETH + SAI uniquement renvoie à d'anciennes autorisations, probablement liées à un contrat oublié datant de cette période qui fait aujourd'hui l'objet d'une exploitation ».

Des autorisations non révoquées, un risque sous-estimé

Cette attaque soulève une fois de plus la question de la gestion des autorisations dans l'écosystème DeFi. De nombreux utilisateurs conservent des droits d'accès ouverts sur des protocoles anciens, sans toujours en avoir conscience. Ces autorisations, souvent accordées lors de la première interaction avec une application décentralisée, peuvent être exploitées des années plus tard si le contrat intelligent sous-jacent présente une faille.

Les experts rappellent que la révoquer régulièrement ces permissions via des outils comme Revoke.cash ou Etherscan reste la meilleure pratique pour limiter les risques. « À une époque où les intelligences artificielles permettent désormais de détecter la moindre faille oubliée dans un code, même après des années, la vigilance doit être constante », souligne un analyste du secteur.

Une opération ciblée, mais des questions en suspens

Si l'origine de l'attaque et la méthode employée commencent à être éclaircies, plusieurs éléments restent inexpliqués. Pourquoi les attaquants se sont-ils limités aux actifs ETH et SAI ? Comment ont-ils identifié les portefeuilles vulnérables ? La réponse pourrait résider dans l'exploitation automatisée de contrats obsolètes, rendue possible par des outils d'analyse avancés.

Les autorités crypto, dont certaines plateformes comme Kraken — qui propose un lien d'affiliation — rappellent régulièrement l'importance de sécuriser ses actifs. « La sécurité des wallets dépend avant tout de la fiabilité de leurs détenteurs, mais aussi de leur capacité à éviter les pièges classiques comme le phishing ou l'oubli de révoquer des autorisations », indique un porte-parole de la plateforme.

Et maintenant ?

Les prochaines semaines devraient voir une intensification des audits de sécurité sur les contrats intelligents anciens, notamment ceux déployés entre 2018 et 2020. Les acteurs du secteur pourraient aussi renforcer leurs outils de détection automatisée de failles, tandis que les utilisateurs sont encouragés à revérifier leurs autorisations avant le 15 mai, date limite symbolique souvent citée pour les mises à jour de sécurité. Reste à voir si cette attaque incitera les développeurs à adopter des pratiques de codage plus rigoureuses ou si, au contraire, elle servira de modèle à d'autres tentatives.

Les autorités judiciaires et les plateformes d'échange pourraient également collaborer pour tracer les fonds déplacés vers l'adresse suspecte, bien que les cryptomonnaies offrent une certaine opacité une fois les fonds transférés. Dans l'immédiat, les victimes de cette opération n'ont d'autre choix que de constater les pertes, sans garantie de récupération.

Selon Ruslan Khairullin, fondateur d'InvestZone, ce choix s'expliquerait par la présence d'anciennes autorisations liées à des contrats intelligents datant de 2018-2020. Ces contrats, oubliés depuis, contiendraient des failles exploitables uniquement pour ces deux actifs. Les attaquants auraient identifié ces vulnérabilités via des outils automatisés capables de scanner des milliers de contrats en quelques secondes.

Dans l'immédiat, il n'existe aucun moyen garanti de récupérer les fonds déplacés. Les victimes peuvent signaler l'incident aux plateformes comme Etherscan ou aux autorités compétentes, mais les chances de récupération restent faibles. Les experts recommandent en revanche de vérifier immédiatement ses autorisations sur des outils comme Revoke.cash et de renforcer la sécurité de son portefeuille en utilisant des solutions comme les wallets matériels.