TrustedVolumes perd 5,87 M$ : l’exploit qui éclaire les failles des proxies DeFi

Analyse détaillée de l'exploit TrustedVolumes (5,87 M$) : proxy RFQ, lien avec 1inch Fusion V1, et leçons pour les market makers DeFi en mai 2026.

TrustedVolumes perd 5,87 M$ : l'exploit qui éclaire les failles des proxies DeFi

Temps de lecture : 5 min

Points clés à retenir

  • Exploit ciblé : Un proxy RFQ personnalisé de TrustedVolumes, lié à 1inch, a été vidé de 5,87 M$ via une fonction publique dérobant des autorisations préalables.
  • Récidive remarquable : L’attaquant est le même opérateur que celui de l’exploit 1inch Fusion V1 de mars 2025, exploitant une vulnérabilité différente en mai 2026.
  • Pression sécuritaire croissante : Cet incident s’ajoute à plus de 606 M$ de pertes DeFi en avril 2026, soulignant la fragilité des systèmes d’approbation personnalisés.

Les chiffres ne disent pas seuls : 5,87 M$ évaporés en quelques blocs

Ce que les chiffres ne disent pas seuls, c’est la mécanique précise de l’exploit. Le 12 mai 2026, TrustedVolumes — un fournisseur de liquidité et teneur de marché lié à 1inch — a vu son contrat resolver Ethereum perdre environ 5,87 millions de dollars, selon la société de sécurité on-chain Blockaid. L’attaque n’a pas touché les routes d’échange standard des utilisateurs, mais un proxy RFQ personnalisé contrôlé par TrustedVolumes.

Les actifs dérobés : 1 291,16 WETH, 206 282 USDT, 16,939 WBTC et 1 268 771 USDC. Une poche bien remplie, mais surtout une signature technique claire. Blockaid a identifié l’attaquant comme le même opérateur lié à l’exploit 1inch Fusion V1 de mars 2025. La plupart des analyses s’arrêtent là. Moi non.

A lire également :  Technology ID : L'identité numérique comme nouvel actif financier

Posons les bases : comment ce proxy RFQ a-t-il été compromis ?

Posons les bases avant d’aller plus loin. Pour comprendre l’exploit, il faut regarder trois couches : le contrat resolver, le proxy RFQ personnalisé, et le système d’approbation préalable. CertiK Alert, cité par Binance News, explique que l’attaquant a utilisé une fonction publique pour s’enregistrer en tant qu’AllowedOrderSigner. Une fois ce statut obtenu, il a exécuté des ordres qui ont déplacé les fonds préalablement autorisés depuis l’adresse victime.

En pratique, ça donne quoi ? Un market maker comme TrustedVolumes accorde des permissions spéciales à ses propres contrats pour exécuter des trades rapidement, sans passer par les routes standard. Ces permissions, une fois activées, deviennent une surface d’attaque. C’est précisément là que ça se complique : l’attaquant n’a pas eu à casser un chiffrement ou à deviner un mot de passe. Il a simplement utilisé une fonction publique — un peu comme si la porte de service d’une banque était ouverte à quiconque connaissait le code confidentiel affiché sur l’écran.

Deux exploits, un même opérateur : attention au consensus

Attention : ce que je vais écrire va à l’encontre du consensus. Beaucoup de commentateurs ont immédiatement crié à la récidive simpliste. Mais les données on-chain racontent une autre histoire. Blockaid confirme que l’exploit de mai 2026 a utilisé une vulnérabilité différente de celle de mars 2025. L’incident précédent — qui avait causé plus de 5 millions de dollars de pertes, selon BlockSec — reposait sur un mauvais traitement des calldata et des hypothèses de confiance mal gérées dans les resolvers Fusion V1. En mai 2026, la faille est dans le proxy RFQ de TrustedVolumes lui-même.

A lire également :  Safran chiffre d’affaires 2026 : une croissance portée par les moteurs LEAP et la maintenance

Je préfère me tromper avec des données plutôt qu’avoir raison avec des intuitions. Les rapports de Blockaid et CertiK sont concordants : l’attaquant connaît l’écosystème 1inch et sait où se cachent les permissions non révoquées. Mais le vecteur d’attaque a changé. Cela suggère non pas un bug unique, mais une classe entière de vulnérabilités structurelles dans les architectures de market making personnalisées.

Pression sécuritaire : plus de 606 M$ en avril 2026

L’incident TrustedVolumes survient dans un contexte tendu. Selon les données DefiLlama compilées par Crypto.news, les protocoles DeFi ont perdu plus de 606 millions de dollars au cours des 18 premiers jours d’avril 2026 seulement. Ce total est dominé par deux cas : Drift Protocol (environ 285 M$) et Kelp DAO (environ 292 M$). À elle seules, ces deux attaques représentent la quasi-totalité des pertes enregistrées sur la période.

Un autre exemple récent : Wasabi Protocol, dont les pertes ont dépassé 5 millions de dollars sur Ethereum, Base, Berachain et Blast, selon des sources concordantes. Les équipes de sécurité indiquent qu’une clé admin compromise a permis aux attaquants de mettre à niveau les contrats et de drainer les fonds. La répétition du schéma est frappante.

Permissions personnalisées : le point faible structurel des market makers

Le cas TrustedVolumes met en lumière un angle mort persistant : les contrats resolver, les systèmes d’approbation et les outils de market making sur mesure. Ces systèmes nécessitent des permissions spéciales pour déplacer des fonds et exécuter des échanges rapidement. Cette architecture de confiance crée un risque systémique lorsque les permissions restent actives après qu’un contrat devient vulnérable. Les pertes peuvent alors s’accumuler bien au-delà du montant attendu d’une simple faille de code.

A lire également :  Management de transition finance : missions, coûts et conseils en 2026

En regardant les données du rapport Blockaid, j’observe que l’attaquant n’a pas eu à forcer une transaction ni à exploiter une vulnérabilité de réentrance classique. Il a simplement utilisé une fonction publique exposée. C’est précisément le genre de faille qu’un audit de sécurité bien conduit aurait dû détecter. Mais les proxies RFQ personnalisés sont souvent audités moins rigoureusement que les protocoles grand public, car ils sont vus comme des outils internes.

Ce que cet exploit signifie pour les investisseurs autonomes

En tant qu’investisseur autonome, tu dois tirer plusieurs leçons de cet incident. D’abord, les market makers ne sont pas des entités infaillibles. Leurs contrats personnalisés présentent un risque de contrepartie qu’il ne faut pas négliger. Ensuite, la réutilisation d’approbations préalables (allowances tokens) reste une porte d’entrée fréquente pour les attaquants. CertiK conseille de révoquer les approbations liées aux contrats affectés — une pratique que je recommande de généraliser à tous les contrats que tu n’utilises plus.

Enfin, je te conseille de suivre les adresses d’attaquants connus via des outils comme Blockaid ou Arkham Intelligence. Le même opérateur a déjà frappé deux fois. La troisième pourrait être imminente. Les données on-chain sont claires : les pertes DeFi ne baissent pas en 2026. Au contraire, la sophistication des attaques augmente. Les chiffres ne disent pas seuls la menace réelle : c’est la capacité à anticiper et à révoquer qui fait la différence entre un investisseur averti et une victime.

Transparence : Je ne détiens aucune position dans 1inch, TrustedVolumes ou tout protocole lié à cet article. Aucun conflit d’intérêt déclaré.

CFAW
Powered by  GDPR Cookie Compliance
Résumé de la politique de confidentialité

Ce site utilise des cookies afin que nous puissions vous fournir la meilleure expérience utilisateur possible. Les informations sur les cookies sont stockées dans votre navigateur et remplissent des fonctions telles que vous reconnaître lorsque vous revenez sur notre site Web et aider notre équipe à comprendre les sections du site que vous trouvez les plus intéressantes et utiles.