Un hacker non identifié a réussi à détourner 2,19 millions de dollars d’un protocole Ethereum fermé depuis mars 2023, selon Numerama. L’attaque, menée le dimanche 14 juin 2026, a ciblé Aztec Connect, une plateforme de confidentialité permettant des transactions anonymes sur la blockchain Ethereum. La particularité de cet incident réside dans le fait que le protocole avait été officiellement fermé il y a trois ans, mais ses contrats intelligents continuaient d’exister sur la blockchain et de détenir des fonds.

Ce qu'il faut retenir

  • Un hacker a détourné 2,19 millions de dollars d’Aztec Connect, un protocole fermé en mars 2023, le 14 juin 2026.
  • La faille exploitée concernait un décalage dans la logique de vérification cryptographique des contrats intelligents.
  • Les fonds ont été transférés en une seule transaction vers un portefeuille nouvellement créé.
  • Aztec Labs ne peut plus intervenir, ses clés d’administration ayant été supprimées lors de la fermeture du protocole.
  • Cet incident illustre les risques des « contrats zombies », des contrats intelligents toujours actifs sur la blockchain bien après la fin d’un projet.

L’attaque a été détectée par CertiK, une société spécialisée dans la sécurité des blockchains, qui a alerté via un tweet le 14 juin. Selon ses analyses, le contrat central d’Aztec Connect ne vérifiait qu’une partie des données soumises pour autoriser un retrait. En exploitant cette faille, le pirate a pu soumettre des preuves cryptographiques manipulées, créditant de la valeur fictive avant de retirer les fonds réels. Sept actifs différents ont été ciblés simultanément lors de cette opération.

Les contrats intelligents d’Aztec Connect reposaient sur un système de preuves mathématiques pour valider les transactions. Cependant, la logique de validation ne contrôlait qu’une partie des données, tandis que le code exécutant les transferts lisait ces mêmes données différemment. Ce décalage a permis à l’attaquant de contourner les mécanismes de sécurité. « Un problème classique de divergence entre la validation et l’exécution », a commenté un analyste de CertiK sous couvert d’anonymat.

Aztec Labs, l’entité derrière le protocole, a confirmé l’incident mais s’est déclarée incapable d’intervenir. Lors de la fermeture d’Aztec Connect en 2023, les développeurs avaient volontairement renoncé à leurs clés d’administration pour éliminer tout point de contrôle centralisé. Cette décision, cohérente avec l’objectif de confidentialité du projet, a rendu les contrats immuables et donc impossibles à corriger ou à mettre à jour après coup. « Une fois les clés supprimées, il n’y a plus de retour en arrière possible », a expliqué un porte-parole d’Aztec Labs à Numerama.

La Fondation Aztec, qui supervise le réseau Aztec encore en activité, a pris soin de préciser que la faille ne concernait pas ses projets actuels. Toutefois, l’incident soulève une problématique récurrente dans la finance décentralisée : les contrats intelligents, une fois déployés sur une blockchain, ne disparaissent pas. Ils persistent indéfiniment avec les fonds qui y sont déposés, exposant les utilisateurs à des risques si une faille est découverte après coup. Ces « contrats zombies » peuvent rester vulnérables pendant des années, comme l’a illustré une attaque similaire sur Raydium, un protocole Solana, quelques jours plus tôt, entraînant la perte de 1,3 million de dollars.

Des contrats zombies, un risque structurel pour la DeFi

Les « contrats zombies » désignent des contrats intelligents abandonnés par leurs créateurs mais toujours actifs sur la blockchain. Leur existence pose un défi majeur pour la finance décentralisée (DeFi). Lorsqu’un protocole est fermé, ses contrats ne sont pas automatiquement retirés. Ils continuent d’exister, avec les fonds des utilisateurs, et deviennent des cibles potentielles si une faille est découverte. « Tant que le code reste en ligne, il reste vulnérable », souligne un expert en sécurité blockchain sous anonymat. La suppression des clés d’administration, bien que renforçant la décentralisation, prive les développeurs de tout moyen d’intervention en cas de faille.

L’incident sur Aztec Connect n’est pas isolé. Il s’inscrit dans une série d’attaques ciblant des protocoles abandonnés. En 2025, un contrat zombie sur Ethereum avait déjà été exploité, entraînant la perte de 500 000 dollars. Ces événements rappellent que la blockchain, bien que conçue pour être immuable, n’offre aucune garantie contre les vulnérabilités logicielles. « La DeFi doit prendre en compte ce risque structurel », a déclaré un représentant de CertiK. Les utilisateurs sont donc invités à retirer leurs fonds des protocoles inactifs pour éviter toute exposition inutile.

Une transaction, sept actifs, et un portefeuille neuf

Selon les détails rapportés par CertiK, l’attaque a été exécutée en une seule transaction, ciblant sept actifs simultanément. Les fonds détournés ont été transférés vers un portefeuille nouvellement créé, ce qui suggère une préparation minutieuse de la part du pirate. « L’absence de contrôle centralisé a facilité l’exécution de cette attaque », a analysé un chercheur en cybersécurité. Les analystes estiment que l’attaquant a pu exploiter la faille en manipulant les preuves cryptographiques, créant ainsi de la valeur fictive avant de la convertir en actifs réels.

Les actifs concernés n’ont pas été précisés par Aztec Labs ou CertiK, mais les analystes évoquent des tokens Ethereum classiques (ETH) et des stablecoins comme l’USDC ou l’USDT. La rapidité de l’opération, ainsi que l’absence de réaction possible, a permis au pirate de s’assurer que les fonds étaient hors de portée avant toute alerte. « Une fois les fonds déplacés, il n’y avait plus rien à faire », a confirmé un développeur d’Aztec Connect ayant requis l’anonymat.

Et maintenant ?

Les conséquences de cet incident restent incertaines. Aztec Labs a indiqué qu’elle ne pouvait plus intervenir, et la Fondation Aztec a rassuré sur l’absence de risque pour ses projets actuels. Cependant, l’attaque pourrait inciter d’autres protocoles à revoir leur gestion des clés d’administration, notamment en cas de fermeture. Pour les utilisateurs, la leçon est claire : les fonds laissés dans des contrats fermés sont exposés à des risques imprévisibles. Une révision des bonnes pratiques en matière de gestion des contrats intelligents pourrait voir le jour dans les mois à venir.

Les autorités n’ont pas encore réagi publiquement, mais des investigations pourraient être lancées pour tenter d’identifier le ou les responsables. Dans le domaine de la blockchain, les enquêtes sur ce type d’attaques restent complexes en raison de l’anonymat des portefeuilles. Reste à savoir si cet incident servira de catalyseur pour renforcer la sécurité des protocoles décentralisés, ou s’il restera un exemple parmi d’autres de la vulnérabilité des « contrats zombies ».

Lorsqu’un protocole est fermé, ses contrats intelligents ne sont pas automatiquement supprimés de la blockchain. Ils continuent d’exister et de détenir des fonds. Si une faille est découverte après la fermeture, et que les clés d’administration ont été supprimées, il est impossible d’intervenir pour corriger le problème. C’est ce qu’on appelle un « contrat zombie ».

Les fonds laissés dans un contrat fermé sont exposés à des risques si une faille est découverte ultérieurement. Sans possibilité d’intervention (clés supprimées, protocole abandonné), un pirate pourrait exploiter la faille pour détourner les fonds. Il est donc recommandé de retirer ses actifs des protocoles inactifs.