La société d’analyse de la blockchain Chainalysis a publié, le 9 juin, un rapport retraçant, entre janvier et mai, au moins 36,70 millions de dollars dérobés via des protocoles dont le code source original n’a jamais été validé et rendu publiquement vérifiable sur un explorateur de blocs ; cela concerne 4 attaques, 5 protocoles. Dans tous les cas, les attaquants ont trouvé les failles en décompilant le bytecode original (et non en lisant le code source public).
Quatre cas d’attaques : montants des pertes, dates et types de failles confirmés
D’après le rapport de Chainalysis, les données de confirmation des cinq protocoles attaqués sont les suivantes :
Truebit : 26,20 millions de dollars, le 8 janvier 2026, sur Ethereum ; dépassement d’entier dans la fonction getPurchasePrice() (Solidity v0,5,3, cette version ne dispose pas de protections automatiques contre les débordements)
Trusted Volumes : 5,90 millions de dollars, le 7 mai 2026, sur Ethereum ; faille de contrôle d’accès dans le proxy d’échange RFQ
Aperture Finance : 3,20 millions de dollars, le 25 janvier 2026, sur Ethereum ; contournement de la validation des entrées via transferFrom
(Source : Chainalysis)
Ekubo : 1,40 million de dollars, le 5 mai 2026, sur Ethereum ; logique de repli ne vérifiant pas l’identité du payeur
Chainalysis confirme que, pour tous les protocoles mentionnés ci-dessus, les contrats concernés n’étaient pas vérifiés sur Etherscan ni sur d’autres explorateurs de blocs au moment des attaques, et qu’il n’existait aucun code source publiquement associé.
Détails du cas Truebit : un contrat déployé en 2021, les enregistrements en chaîne montrent un comportement d’attaque systématique
L’analyse des diagrammes Reactor de Chainalysis montre que l’adresse de l’attaquant à l’origine de l’attaque Truebit (8 janvier 2026, perte de 26,20 millions de dollars) avait, douze jours plus tôt, dérobé 5 ETH depuis le protocole Sparkle.
Le rapport confirme que cette adresse cherchait systématiquement des failles dans des contrats à la fois vérifiés et non vérifiés, en passant progressivement de petits objectifs initiaux à la fin par une attaque de grande ampleur ; les fonds obtenus lors des deux attaques ont été blanchis via Tornado Cash. Le contrat attaqué pour Truebit a été déployé sur Ethereum depuis 2021 et n’a jamais fait l’objet d’une validation du code source sur Etherscan.
Trois failles de sécurité liées aux contrats non vérifiés : mécanismes de défense défaillants confirmés par Chainalysis
Le rapport de Chainalysis confirme qu’en cas de déploiement en « closed-source » par choix du protocole, les trois niveaux de sécurité classiques suivants cessent de fonctionner simultanément :
Défaillance de l’examen par des chercheurs white hat : sans code source lisible publiquement, les chercheurs en sécurité ne peuvent pas identifier et remonter les failles
Exclusion des programmes de primes de bug : les contrats non vérifiés sont généralement explicitement exclus des principaux programmes de primes de bug
Défaillance de la remontée portée par la communauté : dans un environnement d’audit ouvert sans code source, la communauté ne peut pas identifier de manière proactive des problèmes de sécurité
Le rapport de Chainalysis confirme que, pour les protocoles déployant des contrats non vérifiés, la surveillance on-chain en temps réel est actuellement le seul moyen de protection pouvant remplacer les mécanismes de défaillance ci-dessus.
Questions fréquentes
Quelles sont les différences de sécurité fondamentales entre des smart contracts non vérifiés et vérifiés ?
Le code source des contrats vérifiés est publiquement lisible sur des explorateurs de blocs comme Etherscan, ce qui permet aux chercheurs en sécurité d’identifier directement les failles et de soumettre des rapports. Les contrats non vérifiés ne publient que le bytecode compilé ; les chercheurs en sécurité et les attaquants doivent tous passer par des outils de décompilation pour faire de l’ingénierie inverse, et les contrats non vérifiés sont généralement exclus des principaux programmes de primes de bug.
Comment les 36,70 millions de dollars consignés par Chainalysis se comparent-ils aux pertes globales liées aux vols DeFi ?
D’après le rapport de Chainalysis, les 36,70 millions de dollars correspondent à une sous-catégorie distincte parmi les plus de 1 milliard de dollars de pertes totales sur 88 protocoles DeFi recensés sur la même période par DeFiLlama. La plupart des protocoles attaqués recensés par DeFiLlama disposent de smart contracts vérifiés ; les attaques portant sur des contrats non vérifiés constituent un mode d’attaque unique, qui ne devrait pas être comparé directement à des statistiques plus générales de sécurité DeFi.
Quelles recommandations de sécurité précises Chainalysis formule-t-elle pour les protocoles à contrats non vérifiés ?
La seule recommandation concrète confirmée par le rapport de Chainalysis est de déployer une surveillance on-chain en temps réel afin de remplacer la fonction défaillante des systèmes de sécurité traditionnels de l’écosystème sur les contrats non vérifiés. Le rapport ne fournit pas de recommandation spécifique d’outils de surveillance, ni des normes de mise en œuvre, ni de calendrier.
