Les failles basées sur l’approbation continuent de générer des exploits DeFi alors que les pertes de 2026 dépassent 750 millions de dollars dans le monde.
De nouvelles failles de sécurité continueront de mettre la pression sur les plateformes financières décentralisées en 2026. La fréquence croissante des attaques a poussé les équipes de protocole à resserrer les audits et à examiner les autorisations contractuelles de manière plus agressive. Le protocole Ekubo est devenu la dernière cible après que des attaquants ont exploité une faille dans son infrastructure EVM liée à la gestion de l’approbation des jetons. L’incident s’ajoute à une liste croissante d’exploits qui ont déjà drainé des centaines de millions de dollars des plateformes DeFi cette année.
Blockaid identifie la faiblesse du contrôle d’accès derrière l’attaque d’Ekubo
Le protocole Ekubo a perdu environ 1,4 million de dollars en bitcoins enveloppés après que des attaquants ont exploité une vulnérabilité de contrôle d’accès dans ses contrats de routeur d’échange basés sur EVM. La société de sécurité Blockchain Blockaid a déclaré que l’exploit ciblait un mécanisme de rappel de paiement vulnérable dans la version 2 d’Ekubo.EVMcontrats de prolongation.
Cause première:
L’extension Ekubo implémente son rappel IPayer[.]pay (sélecteur 0x599d0714, connecté à msg.sender == EkuboCore) en effectuant token.transferFrom(payer, Core, montant) où le payeur, le jeton et le montant sont transférés directement à partir de la charge utile du verrou, c’est-à-dire contrôlés par quiconque…
– Blockaid (@blockaid_)5 mai 2026
Ekubo fonctionne comme un AMM à liquidité concentrée, lancé d’abord sur Starknet, puis étendu à Ethereum et Arbitrum. La plate-forme est connue pour son architecture singleton et sa conception d’extension modulaire.
Selon Blockaid, les attaquants ont manipulé les données utiles, notamment les paramètres du payeur, du jeton et du montant. Les contrats n’auraient pas permis de vérifier si le payeur avait approuvé la transaction avant son exécution. Cette faiblesse a permis aux attaquants de vider les portefeuilles qui avaient précédemment accordé des approbations de jetons aux contrats de routeur concernés.
Les chercheurs en sécurité ont déclaré que les attaquants avaient effectué le vol via près de 85 transactions rapides. Plateformes de surveillance en chaîne, y comprisCyvers, a suivi les fonds volés après qu’environ 17 WBTC aient été retirés du portefeuille de la principale victime. Les actifs ont ensuite été échangés contre WETH et DAI.
DeFi perd plus de 750 millions de dollars suite à un récent exploit
Ékuboavertiutilisateurs peu de temps après avoir découvert la violation. Les membres de l’équipe ont confirmé que l’exploit affectait uniquement les contrats de routeur d’échange EVM, tandis que les fournisseurs de liquidité n’étaient pas affectés. Les développeurs ont également déclaré que le déploiement principal de Starknet du protocole continuait de fonctionner normalement.
Starknet n’est pas affecté par l’incident du routeur Ekubo.
Le problème s’est produit sur EVM, où les utilisateurs laissent souvent derrière eux des approbations illimitées de jetons.
Sur Starknet, l’abstraction de compte native permet une meilleure UX : les applications peuvent regrouper l’autorisation et l’exécution dans la même transaction, donc les utilisateurs…https://t.co/ZLMn2RTgdm
– StarkWare 🥷 (@StarkWareLtd)6 mai 2026
Les utilisateurs ont été invités à révoquer immédiatement les approbations de jetons en suspens via revoke.cash afin de réduire davantage leur exposition. Ekubo a également noté que les contrats EVM concernés sont immuables de par leur conception, laissant le redéploiement comme seule solution disponible pour le système de routeur compromis.
L’attaque reflète une tendance plus large observée dans la finance décentralisée cette année. Des vulnérabilités basées sur l’approbation et des failles d’autorisation sont apparues à plusieurs reprises dans les protocoles DeFi modulaires, en particulier ceux qui gèrent une infrastructure inter-chaînes ou basée sur des extensions.
Les pertes liées à DeFi avaient déjà dépassé750 millions de dollarsavant l’exploit Ekubo, selon un rapport antérieur de The Block. À lui seul, le mois d’avril a enregistré environ 620 millions de dollars de fonds volés au cours de près de 30 incidents distincts.
Violations importantes impliquant Drift Protocol etVarech DAOreprésente la majorité des pertes du mois. Des attaques plus petites contre les protocoles Wasabi et Volo ont également ajouté à la pression sur une année déjà difficile pour la sécurité DeFi.
Source : Live Bitcoin News
Laisser un commentaire