Exploitation d'un ancien contrat de redevances sur Polygon : 261 000 $ détournés via une faille de logique des récompenses

TheNewsCryptoPublié le 2026-06-24Dernière mise à jour le 2026-06-24

Résumé

Un pirate a exploité un ancien contrat de royalties sur Polygon, dérobant environ 261 200 $ en cryptomonnaie. L'attaque, identifiée le 23 juin, a ciblé un programme de royalties obsolète, sans affecter l'infrastructure principale de la blockchain Polygon. La vulnérabilité résidait dans une faille du mécanisme de calcul et de comptabilisation des récompenses. En manipulant des transactions à valeur nulle, l'attaquant a faussé les calculs de propriété et de soldes de jetons, lui permettant de retirer des fonds excessifs. Il a également utilisé un prêt flash pour maximiser son profit. Cet incident s'ajoute à une série d'exploitations récentes ciblant d'anciens contrats DeFi. Les experts rappellent aux développeurs l'importance d'auditer, de mettre à jour ou de désactiver les déploiements anciens pour éviter de tels risques. L'équipe de Polygon a confirmé que la sécurité de son réseau principal n'a pas été compromise.

Un pirate a utilisé un ancien contrat de redevances sur la plateforme Polygon et s'est enfui avec environ 261 200 $ en cryptomonnaie récemment. La firme de sécurité TenArmorAlert a identifié la transaction inhabituelle le 23 juin et a retracé la transaction d'exploitation.

La blockchain montre que le pirate a mené l'attaque en utilisant la transaction du bloc Polygon 89 018 051. Selon TenArmorAlert, le pirate a réussi à retirer environ 263 800 $ malgré le montant initial relativement faible. L'attaque a visé l'ancien programme de redevances et non la structure fondamentale de la blockchain Polygon.

Un mauvais calcul dans la détermination des récompenses a permis des retraits excessifs

Selon TenArmorAlert, l'attaque a été rendue possible par des problèmes dans le mécanisme de calcul des récompenses et leur comptabilisation. La société de sécurité CertiK a découvert un problème avec la fonction Royal1155LD.beforeLdaTransfer() dans le contrat exploité.

Les chercheurs indiquent que l'attaquant a effectué plusieurs transactions de valeur nulle, manipulant ainsi le calcul des récompenses et les numéros de propriété. Cette vulnérabilité a permis à l'attaquant d'augmenter le solde du jeton dans certaines conditions.

Defimon Alerts a également fourni d'autres recherches de DecurityHQ. Dans ce cas, les experts ont conclu que des erreurs de calcul des redevances ont conduit à l'exploitation. De cette façon, de faux numéros de propriété permettaient de réclamer des récompenses excessives. De plus, l'attaquant a utilisé un flash loan (prêt éclair) pour exploiter ce contrat. Après avoir remboursé le montant emprunté, l'attaquant a conservé le reste de l'argent comme profit.

Toujours vulnérable aux menaces de sécurité

La dernière attaque survient dans le contexte d'autres attaques similaires sur des versions plus anciennes de projets de finance décentralisée ainsi que sur des déploiements de contrats intelligents dormants. Les attaquants ont récemment exploité certains anciens contrats de Huma Finance et ont volé environ 101 400 $.

Les chercheurs mettent en garde les développeurs contre les dangers potentiels de conserver des versions anciennes de contrats intelligents avec des fonds disponibles. L'équipe doit auditer, mettre à jour, désactiver ou supprimer complètement l'ancien déploiement afin d'atténuer le risque d'attaques potentielles. Les développeurs de Polygon ont confirmé que les attaquants n'ont pas pu menacer la sécurité du réseau principal de la blockchain.

Actualité cryptographique à la une :

L'exploit de SecondFi expose les clés de portefeuille, mettant plus de 20 millions de dollars d'actifs Cardano en danger

TagsBlockchainCryptomonnaiePiratageAttaque de piratagePolygonRéseau PolygonRécompenses

Questions liées

QQuelle somme de cryptomonnaie a été volée suite à l'exploitation du contrat de redevances legacy sur Polygon ?

AL'attaquant a dérobé environ 261 200 dollars de cryptomonnaie.

QQuelle est la principale vulnérabilité technique qui a permis cette attaque, selon les recherches ?

AL'attaque a été rendue possible par une erreur de calcul dans le mécanisme de récompense et la comptabilité des récompenses, en particulier dans la fonction `Royal1155LD.beforeLdaTransfer()`, qui a permis de manipuler les soldes de jetons.

QQuelle autre méthode financière l'attaquant a-t-il utilisée pour amplifier le profit de l'exploitation ?

AL'attaquant a utilisé un prêt flash (flash loan) pour exploiter le contrat. Après avoir remboursé le montant emprunté, il a conservé le reste de l'argent comme profit.

QQuelle recommandation est faite aux développeurs pour éviter ce type d'attaque sur des contrats plus anciens ?

ALes chercheurs recommandent aux développeurs d'auditer, de mettre à jour, de désactiver ou de supprimer complètement les déploiements de contrats intelligents plus anciens qui détiennent encore des fonds, afin d'atténuer les risques d'attaques.

QLa sécurité du réseau blockchain principal de Polygon a-t-elle été compromise par cette attaque ?

ANon, les développeurs de Polygon ont confirmé que les attaquants n'ont pas été en mesure de menacer la sécurité du réseau blockchain principal. L'exploitation concernait un programme de redevances legacy et non la structure fondamentale de la blockchain.

Lectures associées

Le géant de la cryptographie Blockstream au cœur d'une grave allégation de fraude - Récit complet

Le géant de la crypto Blockstream, fondé par le pionnier du Bitcoin Adam Back, est au cœur d'une polémique concernant ses obligations minières (BMN). Une enquête du compte NatInfoSec l'accuse de collecter des milliards de dollars auprès des investisseurs pour du minage, mais soulève de graves doutes sur l'existence réelle des infrastructures de minage nécessaires pour honorer ces engagements. Les principaux points d'interrogation portent sur : - L'inadéquation entre la puissance de calcul affichée (15 EH/s) et celle requise pour couvrir les obligations (estimée entre 35 et 45 EH/s). - L'impossibilité de vérifier cette puissance via les canaux publics habituels (réseaux électriques, importations, pools miniers). - Des rendements annuels fixes élevés, jusqu'à 20%, difficiles à justifier dans un secteur aussi volatil que le minage de Bitcoin. - Le passé pénal de Christopher William Cook, cadre clé des activités minières de Blockstream, condamné pour fraude en 2008. Cette information n'était pas divulguée dans les documents d'offre des BMN. - Des inquiétudes sur la source réelle des bitcoins versés aux investisseurs, certaines clauses contractuelles permettant d'utiliser des BTC provenant d'ailleurs que des mines. La controverse s'étend à la société Bitcoin Standard Treasury Company (BSTR), liée à Adam Back et en cours d'introduction en bourse, sur laquelle pèsent des questions de gouvernance et de divulgation des risques liés aux BMN. Si BitMEX Research a tempéré certaines accusations en soulignant le manque de preuves ou des erreurs d'interprétation, la communauté demande plus de transparence. Les questions centrales restent sans réponse claire : la taille réelle des engagements, la vérification indépendante de la puissance minière et des revenus, et l'origine des rendements promis. Blockstream n'a pas encore apporté de réponse systématique à ces allégations.

链捕手Il y a 18 mins

Le géant de la cryptographie Blockstream au cœur d'une grave allégation de fraude - Récit complet

链捕手Il y a 18 mins

Le Lobby Crypto Pousse Le Congrès À Maintenir Intact Le Projet De Loi Fiscale Sur Le Staking Et Le Mining

Le lobby des crypto-monnaies presse le Congrès de maintenir intact le projet de loi fiscale sur le minage et le staking. Les groupes d'advocacy de l'industrie demandent l'adoption sans modification du "Tax Clarity for Mining and Staking Act" (H.R. 9175), qui vise à clarifier le traitement fiscal des récompenses des mineurs (preuve de travail) et des validateurs (preuve d'enjeu). L'enjeu central est le moment de l'imposition : l'industrie souhaite que les récompenses (nouvelles unités de crypto-actifs) ne soient imposées qu'au moment de leur vente, et non dès leur réception. Cette clarification est cruciale pour la trésorerie, la rentabilité et la planification des opérateurs. Cependant, le projet rencontre l'opposition du secteur bancaire traditionnel. Les banques estiment qu'un report d'imposition donnerait un avantage injuste aux produits de rendement des crypto-actifs par rapport aux intérêts, dividendes et produits d'épargne classiques. Au-delà des aspects techniques, ce débat fiscal influence la décentralisation des réseaux. Une fiscalité trop complexe ou immédiate pourrait éliminer les petits validateurs et mineurs, concentrant l'infrastructure entre les mains de grands acteurs capables de gérer la complexité juridique et comptable. Ainsi, la bataille politique autour de cette loi dépasse la simple question comptable ; elle touche à la sécurité économique des réseaux blockchain comme Ethereum et Bitcoin. L'industrie crypto, après s'être longtemps concentrée sur la régulation des marchés, étend maintenant son agenda politique pour tenter de verrouiller des règles fiscales favorables à ses modèles économiques.

bitcoinistIl y a 54 mins

Le Lobby Crypto Pousse Le Congrès À Maintenir Intact Le Projet De Loi Fiscale Sur Le Staking Et Le Mining

bitcoinistIl y a 54 mins

a16z : À l'ère de l'IA, la lutte des entreprises pour les talents commence par le nom du poste

Le terme FDE (forward-deployed engineer), popularisé par Palantir, illustre la stratégie du "title arbitrage" : nommer stratégiquement un poste pour capter des talents et refléter l'évolution de sa valeur. Un titre n'est pas qu'une étiquette ; c'est un langage organisationnel qui légitime un rôle et son pouvoir. Palantir a ainsi transformé un rôle technique orienté client, souvent sous-évalué, en une fonction prestigieuse et attractive. À l'ère de l'IA, ce principe est crucial. La transformation par l'IA ne consiste pas seulement à automatiser des tâches, mais fait émerger de nouveaux rôles hybrides à fort impact (comme le "legal engineer" ou le "GTM engineer"). Ces nouveaux titres, pour être pertinents, doivent décrire un travail réellement nouveau et non être une simple inflation sémantique. Pour les startups en B2B, nommer ces nouveaux rôles chez leurs clients est une stratégie. Cela aide ces organisations à identifier, valoriser et habiliter les individus qui tirent pleinement parti de leurs produits, créant ainsi un avantage concurrentiel et ancrant leur solution dans l'écosystème. Le cas FDE montre qu'une dénomination précise, suivie d'une réorganisation adaptée, peut permettre de mieux intégrer les retours clients au cœur du développement produit et de bâtir une barrière durable.

marsbitIl y a 1 h

a16z : À l'ère de l'IA, la lutte des entreprises pour les talents commence par le nom du poste

marsbitIl y a 1 h

CBRS présente ses premiers résultats trimestriels après son introduction en bourse : les revenus doublent mais les perspectives de marge brute chutent brutalement, la trajectoire de matérialisation du gros contrat d'OpenAI s'allonge

Cerebras (CBRS) a publié ses premiers résultats trimestriels après son introduction en bourse, affichant un chiffre d'affaires de 191,3 millions de dollars au T1, en hausse de 92%, dépassant les attentes. Cependant, le titre a chuté de plus de 10% en après-bourse en raison d'une orientation brutale à la baisse de la marge brute pour le T2, passant de 46,5% à 36-38%. Cette baisse est attribuée à des contraintes de capacité des centres de données, obligeant l'entreprise à louer temporairement des systèmes à des clients pour honorer ses engagements, notamment un méga-contrat avec OpenAI. L'entreprise est en transition d'un modèle de vente de puces vers un modèle de vente de puissance de calcul, ce qui se reflète dans la croissance plus rapide de ses revenus cloud. Bien qu'elle bénéficie d'importants contrats avec OpenAI (plus de 200 milliards de dollars) et d'un partenariat avec AWS, la diversification réelle de sa clientèle, aujourd'hui concentrée à 86% sur deux entités des Émirats arabes unis, ne sera effective qu'à partir de 2027. Les analystes sont majoritairement optimistes, soulignant l'avantage potentiel de Cerebras en matière de vitesse d'inférence d'IA grâce à ses puces de taille wafer. Cependant, les sceptiques pointent les risques liés à la pression sur les marges, à la forte concentration de la clientèle et à une valorisation boursière élevée qui anticipe une exécution parfaite des grands contrats futurs.

marsbitIl y a 1 h

CBRS présente ses premiers résultats trimestriels après son introduction en bourse : les revenus doublent mais les perspectives de marge brute chutent brutalement, la trajectoire de matérialisation du gros contrat d'OpenAI s'allonge

marsbitIl y a 1 h

Interview avec le PDG de Strategy : Après la vente de Bitcoin, le STRC peut-il se rétablir ?

Interview de Phong Le, PDG de Strategy, sur la vente de 32 bitcoins et l'avenir du produit STRC. Il explique que cette vente modeste visait à prouver la liquidité de l'entreprise et à tester des processus internes, non à répondre aux craintes d'un "spirale de la mort" liée au DeFi, soulignant que moins de 10% des STRC sont détenus par des protocoles DeFi. Le processus décisionnel est collectif et rigoureux, impliquant le conseil d'administration et des analyses de données fréquentes. Strategy dispose de multiples options de financement, mais privilégie souvent la stratégie du "ne rien faire", héritée du bear market de 2022, en s'appuyant sur sa conviction à long terme sur le Bitcoin. Concernant le STRC, conçu avec l'aide de l'IA, l'objectif est de le stabiliser autour de sa valeur nominale de 100$. Des mécanismes comme le réapprovisionnement des réserves et le début des paiements de dividendes fin juin devraient y contribuer. L'entreprise rejette toute comparaison avec les stablecoins et se décrit comme un pont entre les fondamentalistes du Bitcoin et les marchés de capitaux traditionnels, avec pour philosophie de "propager le Bitcoin avec amour". Enfin, Le confirme la vente de bitcoin avant le 31 mai, comme documenté dans les dépôts réglementaires 8-K.

marsbitIl y a 2 h

Interview avec le PDG de Strategy : Après la vente de Bitcoin, le STRC peut-il se rétablir ?

marsbitIl y a 2 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow