Un utilisateur du protocole Alchemix a perdu environ 1 million de dollars en jetons productifs d'intérêts après qu'un attaquant a exploité un contrat malveillant précédemment approuvé, selon la société de sécurité on-chain PeckShield, qui a identifié l'incident en premier. L'attaque, qui a ciblé la position yvWETH de l'utilisateur, constitue un rappel coûteux des risques de sécurité associés aux approbations de jetons dans la finance décentralisée (DeFi).
"Le piratage a été rendu possible parce que l'utilisateur avait pré-approuvé un contrat malveillant (0x143a)", ont déclaré les analystes de PeckShield dans un message sur X. "Ce contrat contenait une vulnérabilité d'exécution d'appel arbitraire, que l'attaquant a utilisée pour transférer l'intégralité de la position de l'utilisateur."
La vulnérabilité ne résidait pas au sein des protocoles Alchemix ou Yearn Finance eux-mêmes, mais plutôt dans l'interaction de l'utilisateur avec un contrat malveillant distinct. En accordant à ce contrat l'approbation de dépenser ses jetons, l'utilisateur a créé une faille de sécurité que l'attaquant a ensuite exploitée pour vider les fonds. De tels exploits sont devenus un thème récurrent dans la DeFi, où les utilisateurs accordent souvent des autorisations larges pour interagir avec diverses applications.
Cet incident souligne un défi de sécurité critique côté utilisateur qui dépasse les audits de code des grands protocoles. Alors qu'une grande partie de l'attention portée à la sécurité crypto se porte sur les exploits au niveau du protocole ou les attaques physiques, la source de perte la plus importante et la plus constante provient souvent de l'hygiène du portefeuille et de l'erreur humaine, y compris le phishing et les approbations obsolètes.
Les approbations de jetons restent un problème à 700 millions de dollars
Les approbations de jetons sont un élément fondamental de la DeFi sur des chaînes comme Ethereum, permettant aux contrats intelligents d'interagir avec les actifs d'un utilisateur pour des activités telles que l'échange, le jalonnement ou le prêt. Cependant, si une approbation n'est pas révoquée, elle reste active indéfiniment, créant un permis permanent qu'un contrat malveillant ou compromis peut utiliser. Déconnecter un portefeuille de l'interface d'une dApp ne révoque pas ces autorisations on-chain.
Selon un rapport de 2025 de la société de sécurité CertiK, les attaques de phishing — une catégorie qui inclut les approbations malveillantes — ont représenté près de 723 millions de dollars de pertes. L'incident d'Alchemix est un exemple direct de ce vecteur de risque. Il met en évidence la nécessité d'une gestion diligente du portefeuille, une pratique souvent négligée par les utilisateurs concentrés sur le yield farming ou le trading.
Les meilleures pratiques de sécurité suggèrent une approche multi-portefeuilles : un pour le stockage à long terme qui interagit rarement avec les dApps, un "portefeuille chaud" séparé pour l'activité quotidienne, et un troisième portefeuille expérimental pour les applications nouvelles ou non fiables. De plus, les utilisateurs devraient régulièrement utiliser des outils pour examiner et révoquer toutes les approbations actives pour les contrats qu'ils n'utilisent plus.
L'essentiel
La perte de 1 million de dollars liée à Alchemix est une illustration frappante de la manière dont les pratiques de sécurité individuelles sont aussi cruciales que la sécurité au niveau du protocole. L'incident n'était pas un piratage d'Alchemix lui-même mais une attaque ciblée sur un seul utilisateur ayant accordé une autorisation à un acteur malveillant. Cela renforce la nécessité d'une vigilance constante de l'utilisateur. Avant de signer toute transaction, les utilisateurs doivent vérifier l'adresse du contrat, comprendre les autorisations accordées et adopter une routine de révocation des approbations pour minimiser leur surface de risque on-chain.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
