Le protocole DeFi Stake DAO traverse une nouvelle crise de sécurité majeure. Plusieurs sociétés spécialisées dans la cybersécurité blockchain ont signalé mercredi une attaque en cours touchant le jeton vsdCRV sur le réseau Arbitrum.
Selon les premières analyses, l’attaquant aurait réussi à créer plus de 5 400 milliards de jetons vsdCRV avant de commencer immédiatement à les échanger contre de l’ETH.
Les sociétés Blockaid, PeckShield et BlockSec suivent actuellement l’incident en temps réel.
📖 Piratages DeFi 2026 : les failles de bridge explosent
Une clé privée compromise au cœur de l’attaque
D’après les chercheurs en sécurité, la cause principale de l’incident serait la compromission de la clé privée du déployeur de Stake DAO.
L’attaquant aurait utilisé cette clé privilégiée pour modifier la configuration du pont inter-chaînes du protocole. Cette manipulation lui aurait permis d’envoyer un faux message via l’infrastructure LayerZero et de déclencher la création massive de nouveaux jetons.
BlockSec explique que le pirate a défini un « pair arbitraire » pour vsdCRV avant de forger un message malveillant validé par le système.
Résultat : environ 5,44 trillions de vsdCRV ont été générés directement vers l’adresse contrôlée par l’attaquant.
Des ventes immédiates contre de l’ETH
Après avoir créé ces jetons frauduleux, l’attaquant a rapidement commencé à les échanger contre de l’ether.
PeckShield indique qu’une partie des actifs a déjà été convertie en 43,78 ETH, soit environ 91 000 dollars, puis transférée vers Ethereum.
Stake DAO a confirmé être au courant de l’incident et demande désormais aux utilisateurs de ne plus interagir avec le jeton vsdCRV.
LayerZero n’est pas directement compromis
Les chercheurs insistent sur un point important : il ne s’agirait pas d’une faille du protocole LayerZero ni d’un bug classique de smart contract.
Selon les analyses publiées, le problème provient principalement d’une concentration excessive des privilèges autour d’une seule clé privée.
Shalev Keren, cofondateur de Sodot, estime que cette attaque ressemble fortement à plusieurs incidents récents observés dans la DeFi en 2026.
Le chercheur explique qu’aucun système multisignature ni délai de sécurité ne protégeait cette fonction critique de configuration.
« Une seule clé privée contrôlait une fonction privilégiée sans multisignature ni délai de validation. »
Une année noire pour la sécurité DeFi
Cette nouvelle attaque s’ajoute à une série impressionnante de piratages dans l’écosystème DeFi depuis le début de l’année 2026.
Plus de 600 millions de dollars auraient déjà été perdus dans différentes attaques visant les protocoles décentralisés.
Le hack de Kelp DAO représente à lui seul près de 292 millions de dollars de pertes.
Manuel Aráoz, de la société OpenZeppelin, a récemment déclaré considérer « l’ensemble de la DeFi comme non sécurisé » en raison de l’avantage croissant des attaquants sur les défenseurs.
L’intelligence artificielle accélérerait également certaines capacités offensives utilisées dans les audits automatisés et la recherche de vulnérabilités.
👉 🔍 DUC Mon Avis : la sécurité opérationnelle devient le vrai point faible de la DeFi
Ce dossier montre encore une fois que le problème principal de nombreux protocoles DeFi ne vient plus forcément des smart contracts eux-mêmes, mais de la gestion des accès privilégiés.
Une simple clé privée compromise peut parfois suffire à détruire des années de développement, même après plusieurs audits techniques.
La DeFi devient de plus en plus complexe avec les bridges, les systèmes cross-chain, les couches de validation et les infrastructures externes. Chaque nouvelle couche ajoute aussi une nouvelle surface d’attaque.
Le vrai défi pour les prochaines années sera probablement moins la création de nouveaux protocoles que la mise en place d’une sécurité opérationnelle réellement professionnelle et décentralisée.
Car aujourd’hui, beaucoup de projets restent encore vulnérables à un problème très ancien : une seule clé, une seule erreur, et tout peut s’effondrer.
✍️ Article rédigé par DUC
📌 Sources : Stake DAO | Arbiscan
🚀 Rejoignez-moi sur YouTube et Twitch pour plus de contenu exclusif !
📢Prendre des décisions informées dans cet univers passionnant ! Comprendre, Apprendre, Réussir…
🔔 Abonnez-vous et activez les notifications pour ne manquer aucun contenu :
- Sur YouTube : Toutes les actualités Bitcoin. Un oeil sur tout le Web3
- Sur Twitch : Des lives interactifs, des Q&A, et des discussions en temps réel sur Bitcoin (politiques , techniques, minages etc) et les mouvements du marché des cryptomonnaies.
À bientôt, DUC
En savoir plus sur Actualités Bitcoin – Bitcoin-Crypto.fr
Subscribe to get the latest posts sent to your email.
Vous devez être connecté pour poster un commentaire.