Le protocole de pr\u00eat DeFi Abracadabra<\/strong> a \u00e9t\u00e9 victime d’un nouvel exploit, perdant environ 1,8 million de dollars<\/strong> en tokens MIM lors d’une attaque sophistiqu\u00e9e qui a tir\u00e9 parti d’une faille dans sa fonction \u00ab\u00a0cook\u00a0\u00bb<\/em>. Cet incident marque le troisi\u00e8me grand hack<\/strong> li\u00e9 \u00e0 Abracadabra cette ann\u00e9e, renfor\u00e7ant les inqui\u00e9tudes concernant la s\u00e9curit\u00e9 des contrats de la plateforme.<\/p>\n Plus t\u00f4t en mai, le protocole avait rachet\u00e9 6,5 millions de MIM<\/strong>, couvrant environ la moiti\u00e9 des 13 millions de dollars<\/strong> perdus lors de l’exploit de mars. L’\u00e9quipe a confirm\u00e9 que les fonds des utilisateurs n’\u00e9taient pas affect\u00e9s et a d\u00e9clar\u00e9 avoir allou\u00e9 une partie de sa tr\u00e9sorerie de 19 millions de dollars<\/strong> pour racheter des MIM et stabiliser son approvisionnement.<\/p>\n Notamment, les donn\u00e9es de la blockchain montrent que l’attaquant a exploit\u00e9 la m\u00eame faille \u00e0 travers six adresses de portefeuille<\/strong> diff\u00e9rentes. En appelant la fonction \u00ab\u00a0cook\u00a0\u00bb<\/em> avec une s\u00e9quence d’actions sp\u00e9cifique, l’attaquant a emprunt\u00e9 1 793 755 tokens MIM<\/strong> et les a ensuite \u00e9chang\u00e9s contre d’autres actifs, r\u00e9alisant un gain total d’environ 1,7 \u00e0 1,8 million de dollars<\/strong>.<\/p>\n Les analystes en s\u00e9curit\u00e9 ont confirm\u00e9 que l’exploit n’\u00e9tait pas d\u00fb \u00e0 un bug de r\u00e9entrance ou \u00e0 une vuln\u00e9rabilit\u00e9 typique de pr\u00eat flash, mais provenait enti\u00e8rement d’une erreur logique<\/strong> dans le code. La transaction affect\u00e9e et les portefeuilles associ\u00e9s ont \u00e9t\u00e9 signal\u00e9s par des plateformes de surveillance. L’\u00e9quipe de d\u00e9veloppement d’Abracadabra a not\u00e9 que le DAO a identifi\u00e9 et att\u00e9nu\u00e9 l’exploit, et qu’aucun autre fonds ou utilisateur n’est en danger.<\/p>\n Les premi\u00e8res suggestions des experts en s\u00e9curit\u00e9 incluent la mise en \u0153uvre de v\u00e9rifications d’\u00e9tat isol\u00e9es<\/strong> pour chaque action et l’ajout de validations de solvabilit\u00e9 obligatoires<\/strong> apr\u00e8s toutes les op\u00e9rations d’emprunt.<\/p>\n Selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 blockchain BlockSec<\/strong>, l’attaque a cibl\u00e9 la fonction \u00ab\u00a0cook\u00a0\u00bb<\/em> d’Abracadabra. Cette fonctionnalit\u00e9 est con\u00e7ue pour permettre aux utilisateurs d’ex\u00e9cuter plusieurs op\u00e9rations pr\u00e9d\u00e9finies en une seule transaction. Bien que ce design vise \u00e0 am\u00e9liorer l’efficacit\u00e9, il a \u00e9galement cr\u00e9\u00e9 une vuln\u00e9rabilit\u00e9 dangereuse en raison du suivi d’\u00e9tat partag\u00e9 au sein de la fonction.<\/p>\n<\/blockquote>\n Chaque action effectu\u00e9e sous la fonction \u00ab\u00a0cook\u00a0\u00bb<\/em> partage une seule variable d’\u00e9tat. Lorsqu’une op\u00e9ration d’emprunt (action = 5) se produit, le syst\u00e8me d\u00e9finit un indicateur indiquant qu’une v\u00e9rification de solvabilit\u00e9 est requise \u00e0 la fin de la transaction. Cependant, lorsqu’une autre action (action = 0) suit, elle appelle une fonction d’assistance interne nomm\u00e9e \u00ab\u00a0additionalCookAction\u00a0\u00bb<\/em>. Cette fonction d’assistance est effectivement vide et r\u00e9initialise le drapeau de solvabilit\u00e9 \u00e0 faux, \u00e9crasant le param\u00e8tre pr\u00e9c\u00e9dent.<\/p>\n Cette n\u00e9gligence a permis aux attaquants de combiner les deux actions, [5, 0], pour emprunter des actifs tout en contournant la v\u00e9rification de solvabilit\u00e9. En cons\u00e9quence, la v\u00e9rification finale de solvabilit\u00e9 n’a jamais \u00e9t\u00e9 ex\u00e9cut\u00e9e, permettant \u00e0 l’attaquant de siphonner les fonds du protocole.<\/p>\n Les analystes avertissent qu’\u00e0 mesure que les plateformes DeFi continuent de privil\u00e9gier la flexibilit\u00e9 et la composition, les attaquants deviennent de plus en plus habiles \u00e0 identifier les d\u00e9pendances n\u00e9glig\u00e9es au sein de la logique complexe des contrats intelligents. Renforcer les cadres de test, am\u00e9liorer les revues de code et mettre en \u0153uvre une surveillance continue sont d\u00e9sormais consid\u00e9r\u00e9s comme des \u00e9tapes essentielles pour prot\u00e9ger les protocoles et les fonds des utilisateurs.<\/p>\n Le secteur de la finance d\u00e9centralis\u00e9e (DeFi) fait face \u00e0 l’une de ses ann\u00e9es les plus difficiles, avec des exploits atteignant des niveaux record en 2025<\/strong>. La m\u00eame victime, Abracadabra, a subi une violation de 13 millions de dollars<\/strong> en Ether (ETH) le 25 mars 2025, apr\u00e8s que des attaquants ont exploit\u00e9 des failles logiques complexes enfouies profond\u00e9ment dans son architecture de contrat intelligent.<\/p>\n L’exploit a cibl\u00e9 les pools de tokens GMX et siphonn\u00e9 6 260 ETH<\/strong>. Contrairement aux vuln\u00e9rabilit\u00e9s courantes li\u00e9es \u00e0 des erreurs arithm\u00e9tiques ou \u00e0 des contr\u00f4les d’acc\u00e8s, cette attaque a tir\u00e9 parti de la logique de transaction en plusieurs \u00e9tapes, rendant exceptionnellement difficile sa d\u00e9tection lors des audits.<\/p>\n C’\u00e9tait le deuxi\u00e8me grand exploit<\/strong> d’Abracadabra de l’ann\u00e9e, apr\u00e8s un incident de 6,49 millions de dollars<\/strong> en janvier 2024 qui a d\u00e9stabilis\u00e9 son stablecoin Magic Internet Money (MIM). L’attaque impliquait plusieurs \u00ab\u00a0chaudrons\u00a0\u00bb sur Ethereum. Les d\u00e9tectives de la blockchain Cyvers Alerts<\/strong> ont ensuite r\u00e9v\u00e9l\u00e9 que le hacker avait utilis\u00e9 1 ETH<\/strong> de Tornado Cash, le mixeur de confidentialit\u00e9 sanctionn\u00e9, pour financer l’op\u00e9ration, siphonnant finalement 2 740 ETH<\/strong> et d\u00e9pla\u00e7ant 4 millions de dollars<\/strong> vers un nouveau portefeuille.<\/p>\n L’attaque d’Abracadabra fait partie d’une tendance plus large d’escalade des vols de crypto-monnaies. Selon Chainalysis<\/strong>, plus de 2,17 milliards de dollars<\/strong> ont \u00e9t\u00e9 vol\u00e9s entre janvier et juin 2025, presque \u00e9galant toutes les pertes totales de 2024. CertiK a plac\u00e9 le chiffre encore plus haut, \u00e0 2,47 milliards de dollars<\/strong>, principalement en raison du hack de 1,5 milliard de dollars<\/strong> de Bybit en f\u00e9vrier – l’une des plus grandes violations d’\u00e9change de l’histoire.<\/p>\n Sur une base mensuelle, les hacks ont caus\u00e9 des pertes estim\u00e9es \u00e0 127,06 millions de dollars<\/strong> en septembre 2025. Bien que ce chiffre repr\u00e9sente une baisse de 22 %<\/strong> par rapport aux 163 millions de dollars<\/strong> d’ao\u00fbt, pr\u00e8s de 20 grands exploits<\/strong> ont tout de m\u00eame \u00e9t\u00e9 enregistr\u00e9s. M\u00eame avec la baisse, l’activit\u00e9 d’exploitation reste \u00e9lev\u00e9e, les pertes de septembre d\u00e9passant les 142 millions de dollars<\/strong> de juillet.<\/p>\n Avec les pertes de mi-ann\u00e9e de 2025 d\u00e9j\u00e0 sup\u00e9rieures aux 2,2 milliards de dollars<\/strong> vol\u00e9s en 2024, les analystes avertissent que sans mesures de s\u00e9curit\u00e9 plus strictes, cette ann\u00e9e pourrait figurer parmi les pires de l’histoire de la crypto en mati\u00e8re de violations.<\/p>\n","protected":false},"excerpt":{"rendered":" Incident de s\u00e9curit\u00e9 d’Abracadabra Le protocole de pr\u00eat DeFi Abracadabra a \u00e9t\u00e9 victime d’un nouvel exploit, perdant environ 1,8 million de dollars en tokens MIM lors d’une attaque sophistiqu\u00e9e qui a tir\u00e9 parti d’une faille dans sa fonction \u00ab\u00a0cook\u00a0\u00bb. Cet incident marque le troisi\u00e8me grand hack li\u00e9 \u00e0 Abracadabra cette ann\u00e9e, renfor\u00e7ant les inqui\u00e9tudes concernant la s\u00e9curit\u00e9 des contrats de la plateforme. Plus t\u00f4t en mai, le protocole avait rachet\u00e9 6,5 millions de MIM, couvrant environ la moiti\u00e9 des 13 millions de dollars perdus lors de l’exploit de mars. L’\u00e9quipe a confirm\u00e9 que les fonds des utilisateurs n’\u00e9taient pas affect\u00e9s<\/p>\n","protected":false},"author":3,"featured_media":9878,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[8747,8746,13,7769,65,2038],"class_list":["post-9879","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-blocksec","tag-cyvers-alerts","tag-ethereum","tag-gmx","tag-hack","tag-tornado-cash"],"yoast_description":"Abracadabra DeFi subit un hack de 1,8 million de dollars en raison d'une vuln\u00e9rabilit\u00e9 dans sa fonction 'cook', marquant le troisi\u00e8me exploit de l'ann\u00e9e au milieu des pr\u00e9occupations croissantes concernant la s\u00e9curit\u00e9 dans le secteur DeFi.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/9879","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=9879"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/9879\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/9878"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=9879"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=9879"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=9879"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Exploitation de la fonction \u00ab\u00a0cook\u00a0\u00bb<\/h2>\n
\n
Augmentation des hacks DeFi en 2025<\/h2>\n