Les failles liées aux approbations continuent de provoquer des exploits dans la DeFi, alors que les pertes dépassent 750 millions de dollars dans le monde en 2026.
Les défaillances de sécurité récentes continuent de peser sur les plateformes de finance décentralisée en 2026. La fréquence croissante des attaques pousse les équipes des protocoles à renforcer les audits et à revoir plus rigoureusement les permissions des contrats. Ekubo Protocol est devenu la dernière cible après que des attaquants ont exploité une faille dans son infrastructure EVM liée à la gestion des approbations de jetons. Cet incident s’ajoute à une liste croissante d’exploits qui ont déjà drainé des centaines de millions de dollars des plateformes DeFi cette année.
Blockaid identifie une faiblesse de contrôle d’accès derrière l’attaque d’Ekubo
Ekubo Protocol a perdu environ 1,4 million de dollars en bitcoin enveloppé après que des attaquants ont exploité une vulnérabilité de contrôle d’accès dans ses contrats de routeur d’échange basés sur l’EVM. La société de sécurité blockchain Blockaid a déclaré que l’exploit ciblait un mécanisme vulnérable de callback de paiement dans les contrats d’extension EVM v2 d’Ekubo.EVM
Root Cause:
The Ekubo extension implements its IPayer[.]pay callback (selector 0x599d0714, gated to msg.sender == EkuboCore) by doing token.transferFrom(payer, Core, amount) where payer, token, and amount are forwarded straight from the lock payload- i.e. controlled by whoever…
— Blockaid (@blockaid_) May 5, 2026
Ekubo fonctionne comme un AMM à liquidité concentrée, initialement lancé sur Starknet, puis étendu à Ethereum et Arbitrum. La plateforme est connue pour son architecture singleton et sa conception modulaire d’extensions.
Selon Blockaid, les attaquants ont manipulé les données de la charge utile, y compris les paramètres du payeur, du jeton et du montant. Les contrats n’auraient pas vérifié si le payeur avait approuvé la transaction avant son exécution. Cette faiblesse a permis aux attaquants de drainer les portefeuilles qui avaient précédemment accordé des approbations de jetons aux contrats de routeur concernés.
Les chercheurs en sécurité ont indiqué que les attaquants ont mené le vol via près de 85 transactions rapides. Les plateformes de surveillance on-chain, y compris Cyvers, ont suivi les fonds volés après qu’environ 17 WBTC ont été retirés d’un portefeuille victime principal. Les actifs ont ensuite été échangés contre du WETH et du DAI.
Les pertes DeFi dépassent 750 millions de dollars après l’exploit récent
Ekubo a averti les utilisateurs peu après avoir découvert la brèche. Les membres de l’équipe ont confirmé que l’exploit n’affectait que les contrats de routeur d’échange EVM, tandis que les fournisseurs de liquidité restaient indemnes. Les développeurs ont également déclaré que le déploiement principal du protocole sur Starknet continuait de fonctionner normalement.
Starknet is not affected by the Ekubo router incident.
The issue happened on EVM, where users often leave unlimited token approvals behind.
On Starknet, native Account Abstraction enables a better UX: apps can bundle authorization and execution in the same transaction, so users… https://t.co/ZLMn2RTgdm
— StarkWare 🥷 (@StarkWareLtd) May 6, 2026
Les utilisateurs ont été invités à révoquer immédiatement les approbations de jetons en cours via revoke.cash pour réduire toute exposition supplémentaire. Ekubo a également noté que les contrats EVM concernés sont immuables par conception, ne laissant que le redéploiement comme seule solution disponible pour le système de routeur compromis.
Cette attaque reflète un schéma plus large observé dans la finance décentralisée cette année. Les vulnérabilités basées sur les approbations et les failles de permission ont régulièrement refait surface dans les protocoles DeFi modulaires, en particulier ceux qui gèrent des infrastructures inter-chaînes ou basées sur des extensions.
Les pertes liées à la DeFi avaient déjà dépassé 750 millions de dollars avant l’exploit d’Ekubo, selon un rapport précédent de The Block. Le seul mois d’avril a enregistré environ 620 millions de dollars de fonds volés lors de près de 30 incidents distincts.
Les grandes brèches impliquant Drift Protocol et Kelp DAO ont représenté la majorité des pertes du mois. Des attaques plus petites contre Wasabi Protocol et Volo Protocol ont également ajouté à la pression sur une année déjà difficile pour la sécurité DeFi.
Laisser un commentaire