# Vulnérabilité Articles associés

Le Centre d'actualités HTX fournit les derniers articles et analyses approfondies sur "Vulnérabilité", couvrant les tendances du marché, les mises à jour des projets, les développements technologiques et les politiques réglementaires dans l'industrie crypto.

L'Exploit du Pont CrossCurve Draîne Environ 3 Millions de Dollars, Ravivant le Risque Inter-chaînes

Résumé de l'exploit CrossCurve Bridge : L'exploit du protocole cross-chain CrossCurve, survenu le 2 février, a entraîné des pertes estimées à environ 3 millions de dollars sur plusieurs réseaux. L'attaque a exploité une vulnérabilité dans un contrat intelligent, permettant à un acteur malveillant d'usurper un message inter-chaînes pour contourner la validation et déclencher le déverrouillage de tokens. Le protocole a immédiatement averti ses utilisateurs de suspendre leurs interactions. Le PDG Boris Povar a publié dix adresses Ethereum liées aux fonds volés et a offert une prime de 10% pour leur restitution sous 72 heures, menaçant de poursuites judiciaires en l'absence de réponse. L'incident souligne le risque persistant des ponts inter-chaînes, où la tension entre une expérience utilisateur rapide et les impératifs de sécurité (vérifications, confirmations) crée des points de défaillance critiques. La faille proviendrait d'un chemin d'exécution "express" dans un contrat de destination qui n'a pas correctement validé l'authenticité du message avant d'exécuter l'opération. L'affaire est en cours d'investigation et un post-mortem complet n'a pas encore été publié.

ccn.com02/02 09:52

L'Exploit du Pont CrossCurve Draîne Environ 3 Millions de Dollars, Ravivant le Risque Inter-chaînes

ccn.com02/02 09:52

Une « autodestruction » soigneusement conçue : Analyse de l'attaque PGNLZ

Une attaque soigneusement planifiée contre le projet PGNLZ sur BNB Smart Chain a été détectée le 27 janvier 2026, causant une perte d’environ 100 000 USD. L’attaquant a utilisé un flash loan de 1 059 BTCB via Moolah Protocol, puis les a déposés comme garantie sur Venus Protocol pour emprunter 30 000 000 USDT. Ensuite, l’attaquant a échangé 23 337 952 USDT contre 982 506 PGNLZ sur PancakeSwap, mais a immédiatement brûlé ces tokens (en les envoyant à l’adresse 0xdead). Cette action a drastiquement réduit l’offre de PGNLZ dans le pool, faisant monter son prix de 0,1 USDT à 5 528 USDT. L’attaquant a ensuite exploité la fonction de taxe de vente (Fee-On Transfer) du token, qui déclenchait un mécanisme de brûlage (_executeBurnFromLP) supprimant presque entièrement les tokens restants du pool. Le prix a alors été artificiellement gonflé à 234 385 300 000 000 USDT par PGNLZ, permettant à l’attaquant de vider le pool et de réaliser un profit après remboursement du prêt. La cause principale de cette vulnérabilité est un modèle économique déflationniste mal sécurisé, sans vérification adéquate lors des opérations de taxation ou de brûlage. Il est recommandé aux projets de bien valider leurs mécanismes économiques et de réaliser des audits croisés avant le déploiement.

marsbit01/28 12:17

Une « autodestruction » soigneusement conçue : Analyse de l'attaque PGNLZ

marsbit01/28 12:17

Plus de 300 000 Bitcoins du gouvernement américain en danger après un vol présumé d'initié exposant des défaillances de garde

Selon l'enquêteur blockchain ZachXBT, le fils d'un entrepreneur travaillant avec le US Marshals Service (USMS) aurait volé plus de 40 millions de dollars en crypto-actifs saisis par le gouvernement américain. L'affaire implique Command Services & Support (CMDSS), une entreprise sous-traitante chargée de la gestion des cryptomonnaies confisquées, dont celles issues du piratage de Bitfinex. Le vol aurait été rendu possible par un accès privilégié aux portefeuilles numériques gouvernementaux. Des enregistrements Telegram auraient montré le suspect en train de déplacer des fonds en direct. Bien qu'une partie des actifs ait été restituée, environ 700 000 dollars auraient définitivement disparu. Cet incident soulève des questions cruciales sur la sécurité des actifs cryptos détenus par le gouvernement américain, évalués à plusieurs milliards de dollars. Il met en lumière les risques liés aux menaces internes et les failles potentielles des protocoles de custody, malgré les tentatives précédentes de renforcement des mesures de sécurité. Aucune déclaration officielle n'a été faite par l'USMS ou CMDSS à ce jour.

ccn.com01/26 11:01

Plus de 300 000 Bitcoins du gouvernement américain en danger après un vol présumé d'initié exposant des défaillances de garde

ccn.com01/26 11:01

L'ère de l'Internet des Objets : Les robots aspirateurs peuvent-ils voler vos cryptomonnaies ?

À l'ère de l'Internet des objets, les appareils domestiques intelligents comme les robots aspirateurs représentent une menace pour la sécurité des cryptomonnaies. Des chercheurs démontrent que ces dispositifs, souvent peu sécurisés, peuvent être piratés pour voler des mots de passe, des phrases de récupération ou même miner clandestinement des cryptomonnaies comme le Monero. Des cas emblématiques incluent un aquarium connecté dans un casino qui a permis l’exfiltration de données, une machine à café transformée en rançongiciel, et des robots aspirateurs utilisés pour espionner les utilisateurs via leurs caméras. Les routeurs et autres objets connectés (en moyenne 21 par foyer américain) constituent des portes d’entrée pour les pirates afin d’accéder aux réseaux domestiques et aux appareils contenant des actifs numériques. Pour se protéger, les experts recommandent de : - Modifier les paramètres par défaut et utiliser des mots de passe robustes - Isoler les appareils IoT sur un réseau invité séparé - Déconnecter les dispositifs lorsqu’ils ne sont pas utilisés - Maintenir les firmware à jour Une vigilance accrue est essentielle pour éviter le vol de fonds ou la compromission de données sensibles.

marsbit01/18 06:45

L'ère de l'Internet des Objets : Les robots aspirateurs peuvent-ils voler vos cryptomonnaies ?

marsbit01/18 06:45

Une vulnérabilité de calcul a permis le vol de 8535 ETH à Truebit

Le 8 janvier 2026, le protocole Truebit a été victime d'une attaque entraînant une perte de 8 535,36 ETH (environ 26,44 millions de dollars). L'équipe de sécurité ExVul a analysé l'incident et identifié une vulnérabilité de dépassement d'entier dans la fonction de calcul du prix d'achat des jetons TRU. L'attaquant a exploité une boucle en quatre étapes pour appeler successivement les fonctions `getPurchasePrice`, `0xa0296215` et `0xc471b10b`. En utilisant une valeur d'entrée extrêmement élevée (`_amountIn`), l'addition non sécurisée `v12 + v9` a provoqué un dépassement d'entier, ramenant le résultat à zéro. Cela a permis à l'attaquant de frapper gratuitement une grande quantité de jetons TRU puis de les échanger contre 5 105,06 ETH par transaction. La racine du problème réside dans l’utilisation de Solidity v0.6.10 sans vérifications de sécurité contre les dépassements arithmétiques. Les versions récentes de Solidity atténuent ce risque. Cet incident s’inscrit dans une tendance croissante d’attaques automatisées par IA ciblant les anciens protocoles DeFi. Il est recommandé aux projets de procéder à des audits de sécurité, de mettre à jour les contrats et de surveiller les activités suspectes.

marsbit01/13 07:39

Une vulnérabilité de calcul a permis le vol de 8535 ETH à Truebit

marsbit01/13 07:39

Pertes dépassant 26 millions de dollars, analyse de l'incident de sécurité du Truebit Protocol et suivi des flux de fonds volés

Le protocole Truebit a subi une attaque le 9 janvier, entraînant une perte de 8 535,36 ETH (environ 26,4 millions de dollars). L’attaque a exploité un contrat non open source déployé il y a cinq ans. L’analyse de Beosin révèle que l’attaquant a utilisé une fonction non documentée (0xa0296215) avec une valeur msg.value minime, profitant d’une faille de type dépassement arithmétique pour frapper massivement des jetons TRU. Ensuite, l’attaquant les a revendus au contrat via la fonction burn, drainant ainsi les réserves d’ETH. Les fonds volés, soit 8 535,36 ETH, ont été majoritairement transférés vers deux adresses : 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4 267,09 ETH) et 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4 001 ETH). Le reste (267,71 ETH) se trouve toujours sur l’adresse de l’attaquant. Aucun autre mouvement n’a été observé pour le moment. Beosin recommande aux projets utilisant des anciens contrats non audités de les mettre à jour, d’ajouter des mécanismes de pause d’urgence et de réaliser des audits de sécurité rigoureux.

marsbit01/09 10:49

Pertes dépassant 26 millions de dollars, analyse de l'incident de sécurité du Truebit Protocol et suivi des flux de fonds volés

marsbit01/09 10:49

Le protocole Truebit confirme un incident de sécurité alors qu'une exploitation draine plus de 26 millions de dollars en ETH

Le protocole Truebit a confirmé un incident de sécurité survenu le 7 janvier, avec l'exploitation d'un de ses contrats intelligents ayant entraîné la perte de plus de 8 500 ETH, d'une valeur d'environ 26 millions de dollars. L'équipe a identifié une activité malveillante liée au contrat "Truebit Protocol: Purchase" et a conseillé aux utilisateurs de ne plus interagir avec celui-ci. L'analyse indique que l'exploit résultait d'une faille de logique de prix dans la fonction getPurchasePrice[uint256], qui renvoyait un prix nul pour des demandes de minting anormalement importantes, permettant à l'attaquant de mint des tokens gratuitement. Ce dernier a ensuite revendu ces tokens via la courbe de liaison du protocole, drainant les réserves d'ETH dans une boucle d'achat-vente rapide. Près de la moitié des fonds volés ont été blanchis via Tornado Cash peu après l'attaque, suggérant une action délibérée. Le token TRU a chuté de plus de 60 % suite à l'incident, reflétant l'inquiétude des investisseurs. Truebit n'a pas encore annoncé de plan de compensation et travaille avec les autorités. Cet incident s'inscrit dans une tendance plus large de hausse des crimes cryptos en 2025, avec 154 milliards de dollars de transactions illicites.

ambcrypto01/08 22:51

Le protocole Truebit confirme un incident de sécurité alors qu'une exploitation draine plus de 26 millions de dollars en ETH

ambcrypto01/08 22:51

Le mot de passe de trafic ignoré par 99 % des créateurs Web3

La plupart des créateurs de contenu Web3 pensent que leur manque de créativité les empêche de bien raconter des histoires. Mais le vrai problème est souvent l’absence de contraste dans leur contenu. Sans contraste, le contenu semble plat, prévisible et oubliable. Le contraste, c’est simplement montrer un changement : un avant vs après, une attente vs réalité, une croyance vs une prise de conscience. Sans cette transformation, le contenu reste une simple information, utile mais peu mémorable. Le Web3 regorge de données, de fonctionnalités et de promesses, mais ces éléments sont souvent présentés de manière trop directe. Le cerveau humain s’éveille face à l’inattendu, pas face à une liste de faits. Exemple : au lieu de dire « Solana est rapide et peu coûteux », on peut raconter : « J’ai cliqué, changé de page, et réalisé que la transaction était déjà terminée ». Cette approche crée un moment marquant. Le contraste implique souvent d’admettre ses erreurs, ses doutes ou ses surprises. Cette vulnérabilité rend le contenu authentique et relatable. Les gens se connectent à ce qui est humain, pas parfait. Pour ajouter du contraste, demandez-vous : « Qu’est-ce qui a changé ici ? » Intégrez une hypothèse erronée, une hésitation, un résultat inattendu ou une décision presque non prise. Pas besoin d’un drame, juste d’un changement qui parle à l’expérience humaine. En résumé, le contraste est la clé pour se démarquer dans le Web3 sans avoir à crier plus fort que les autres.

marsbit12/29 16:31

Le mot de passe de trafic ignoré par 99 % des créateurs Web3

marsbit12/29 16:31

Trust Wallet révèle le nombre de victimes du piratage et le problème des compensations

Trust Wallet a révélé que le piratage de la semaine dernière a touché plus de 2 500 comptes. Le service a reçu environ 5 000 demandes d'indemnisation, soit près du double, ce qui ralentit les versements en raison du temps nécessaire pour filtrer les requêtes frauduleuses. L'incident s'est produit dans la nuit du 26 décembre, exploitant une vulnérabilité dans la version 2.68 du portefeuille navigateur. Les développeurs ont publié une mise à jour (v2.69) et ont estimé les pertes à 7 millions de dollars, qu'ils se sont engagés à compenser. L'enquête technique et la vérification des demandes se poursuivent, avec l'aide de Google pour obtenir les journaux d'audit de Chrome. La priorité est une vérification précise des propriétaires de portefeuilles, plutôt que la rapidité. Par ailleurs, un rapport de Chainalysis indique que les pertes totales dues au piratage de portefeuilles individuels en 2025 ont atteint 713 millions de dollars.

RBK-crypto12/29 10:51

Trust Wallet révèle le nombre de victimes du piratage et le problème des compensations

RBK-crypto12/29 10:51

Aujourd'hui, dans le récit Web3, vous n'avez pas besoin de créativité

La plupart des créateurs de contenu Web3 pensent manquer de créativité, mais le vrai problème est l’absence de contraste dans leurs récits. Le contraste, c’est simplement montrer un changement : un avant/après, une attente vs réalité, une croyance qui devient une prise de conscience. Sans cela, le contenu reste une simple information, oubliable. Le Web3 regorge de données et de promesses présentées de manière trop directe, ce qui n’accroche pas l’attention. Le cerveau s’éveille face à l’inattendu. Par exemple, au lieu de dire « Solana est rapide et peu coûteux », on pourrait raconter : « J’ai cliqué, changé de page, et réalisé que la transaction était déjà validée. » Le contraste implique souvent de reconnaître ses erreurs ou ses doutes, ce qui peut être inconfortable, mais c’est cette vulnérabilité qui rend le contenu authentique et relatable. Pour ajouter du contraste, demandez-vous : « Qu’est-ce qui a changé ici ? » et intégrez une hypothèse erronée, une hésitation ou un résultat inattendu. Pas besoin d’être dramatique—juste sincère. Dans le Web3, le contraste vous permet de vous démarquer sans avoir à crier.

marsbit12/29 09:57

Aujourd'hui, dans le récit Web3, vous n'avez pas besoin de créativité