Hemi confirme l'exploitation de Ploutos : $388K disparu sur cinq chaînes

Hemi confirme l’exploitation de Ploutos Money le 26 février 2026, drainant 388 000 $ sur Hemi, Ethereum, Arbitrum, Hyperliquid et Avalanche via manipulation d’oracles.

Un protocole de prêt DeFi vient d’être entièrement vidé. Ploutos Money a perdu environ 388 000 $ le 26 février 2026 lors d’une attaque coordonnée sur plusieurs oracles qui a touché simultanément cinq blockchains distinctes.

Hemi a publié une analyse complète de l’incident sur son blog officiel à hemi.xyz. L’attaque a eu lieu vers 05h00 UTC. À ce moment-là, les fonds étaient déjà transférés hors chaîne via des ponts cross-chain.

À lire absolument : Hack de sécurité de Trust Wallet : comment protéger vos actifs

Cinq chaînes touchées. Fonds partis en quelques minutes.

L’attaque ne s’est pas limitée à une seule chaîne. Les déploiements de Ploutos sur Hemi, Ethereum, Arbitrum, Hyperliquid et Avalanche ont tous été compromis. Chaque chaîne. Chaque déploiement.

Les attaquants ont utilisé deux méthodes principales. Ils ont remplacé les oracles légitimes par des contrats malveillants. Ils ont aussi créé des tokens de collatéral non garantis et utilisé ces tokens pour obtenir des prêts invalides. La combinaison a été rapide et a laissé peu de traces.

Les actifs exfiltrés de Hemi ont traversé le pont Stargate. Les fonds volés d’Arbitrum, Hyperliquid et Avalanche ont tous été routés via Li.Fi. Les deux ponts ont tout transféré vers le réseau principal Ethereum.

Comme @hemi_xyz l’a publié sur X, les moniteurs de sécurité on-chain @CertiK et @BlockSecTeam avaient signalé en temps réel les mises à jour malveillantes des oracles. Les transactions étaient visibles. Les dégâts étaient déjà faits.

À lire aussi : Le sénateur soulève des inquiétudes concernant 1,7 milliard de dollars en transferts présumés de Binance

Ploutos a disparu. Aucune explication fournie.

Après l’exploitation, le site web, le GitHub et tous les flux sociaux de Ploutos Money ont été mis hors ligne. Aucune annonce. Aucune explication de l’équipe.

Un message est apparu peu après dans le canal Telegram officiel de Ploutos. Hemi n’a pas confirmé qu’il s’agissait d’une communication vérifiée de l’équipe. Les utilisateurs ne doivent pas suivre les étapes de récupération proposées dans ce message tant que des sociétés de sécurité indépendantes et des équipes de projets blockchain ne l’ont pas authentifié, a averti Hemi.

Ce silence complique la tâche des utilisateurs affectés en ce moment.

Ploutos Money était l’un des plusieurs protocoles de prêt opérant sur Hemi et était auparavant incité par des campagnes Merkl. Cette relation se termine ici. La vulnérabilité exploitée résidait entièrement dans les déploiements de Ploutos.

Hemi a clairement indiqué que le protocole principal et tous les autres protocoles intégrés restent indemnes. Une enquête interne est en cours.

À lire absolument : Kraken lance Flexline, des prêts crypto garantis par des fonds pour les traders professionnels

Révoquez ces permissions immédiatement

Toute personne ayant interagi avec Ploutos doit agir. Cela concerne toutes les interactions sur les cinq chaînes.

Le blog de Hemi et le post @hemi_xyz sur X listent douze adresses de contrats sur Hemi nécessitant une révocation immédiate des permissions. Des outils comme Rabby wallet ou des plateformes web de révocation peuvent gérer cela. Pour Hemi spécifiquement, pure.finance/token-revokes fonctionne. Des outils tiers couvrent les autres chaînes.

Liste complète des adresses de contrats Hemi à révoquer :

0xDdc98fF53945e334Ecca339b4DD8847b3769e8f0 0x5E660Deb9F5122bc185681b194a442590BcFcb64 0x87c6f09FA2DFd99717bDEeDf19496970Ca84264d 0x3FaA464dE86ca69863FF0ae029A7A0F0466B8fD9 0xB75a86dEedb9b4c95543D2dD0cc41CB641a28C24 0xA8F2DcaEE054809017FDF6EFbacdD5387a065Bc9 0x9DF7B63fD5295944038E061cb2e4637618227f85 0x682f12e6DD63495E31c24572F9997B3Bc7A99442 0x01d65Ded4C3c4F76Acd5EAE730320eBb4aF0E156 0xa9b9cCE44fe4150e87965bb31FB2b55D009812B1 0x9D7a3590cA6621893bC6B908B8Bce925d9407bB9 0xD6203b39b1e57301fd10CB946436Dda71D933F4D

L’enquête approfondie est toujours en cours. Hemi indique qu’il tiendra les utilisateurs affectés informés des prochaines étapes à mesure que les résultats seront disponibles.

À lire aussi : Un analyste avertit que le Bitcoin pourrait tomber à 44 000 $ - 35 000 $ en 2026

Les attaques cross-chain sur oracles de ce type ne sont pas nouvelles. Ce qui ressort ici, c’est la rapidité et l’ampleur. Cinq chaînes. Une seule fenêtre. 388 000 $ drainés avant que les moniteurs ne puissent faire autre chose que regarder.