Donc, je suis de près cette actualité des piratages DeFi, et il y a clairement un schéma qui commence à émerger, difficile à ignorer. On dirait que les anciens protocoles DeFi que tout le monde a oublié sont systématiquement ciblés, et l’ampleur devient préoccupante.

Truebit a été lourdement attaqué jeudi — on parle de $26 millions extraits via une vulnérabilité simple de dépassement d’entier dans leur contrat de couche de vérification. L’attaquant a créé en masse des tokens TRU, les a brûlés, et est reparti avec 8 535 ETH. Le prix est tombé à zéro instantanément. Ce qui est fou, c’est que ce code était vulnérable depuis presque cinq ans, depuis le lancement. Le contrat détenait à un moment donné 44 000 ETH, donc la situation aurait pu être bien pire.

Ensuite, Futureswap a été de nouveau attaqué aujourd’hui — deuxième attaque en un mois. Ils ont perdu encore $400K en plus de l’attaque de gouvernance $550K de décembre. Au total, cela représente environ $27 millions dans ces incidents récents, et il ne semble pas que ça ralentisse.

Ce qui est intéressant dans ce cycle d’actualités sur les hacks DeFi, c’est la théorie selon laquelle des outils d’IA aident les attaquants à analyser systématiquement d’anciens codes non audités. Un chercheur en sécurité a mentionné que des bots de fuzzing « dévorent ça comme des piranhas ». Ça a du sens — les contrats legacy de la période 2020-2022 sont là, avec peu d’attention continue à la sécurité.

Storming0x, qui travaillait auparavant sur la sécurité chez Yearn, a été très vocal à ce sujet. Il dit que les équipes doivent soit complètement abandonner ces vieux contrats, soit les faire auditer à nouveau. Les utilisateurs devraient simplement retirer leurs fonds de tout ce qui est legacy à ce stade.

La vision d’ensemble ici, c’est qu’on assiste à une réévaluation coordonnée des infrastructures DeFi oubliées, et cela continuera jusqu’à ce que les protocoles y répondent réellement. Ce problème de sécurité dans la DeFi ne disparaîtra pas tout seul.