Crypto Edu
Deux plates-formes de finances décentralisées, Zksync et Kiloex, ont connu des violations de sécurité importantes cette semaine, entraînant plus de 12 millions de dollars en pertes.
Zksync a révélé le 15 avril qu’un compte d’administration compromis avait frappé 5 millions de dollars de jetons aériens non réclamés, tandis que Kiloex a révélé un exploit antérieur dans lequel un pirate a volé 7,5 millions de dollars en utilisant une vulnérabilité Oracle Price. Les deux équipes ont souligné que les fonds d’utilisateurs restent en sécurité et que les efforts de récupération coordonnés sont en cours.
Kiloex propose une prime de chapeau blanc de 750 000 $ à Hacker après 7,5 millions de dollars Exploit: les menaces juridiques se profilent si les fonds n’ont pas été retournés
Dans le sillage d’un exploit dévastateur de 7,5 millions de dollars, Decentralized Exchange (DEX) Kiloex a lancé un appel public au pirate derrière l’attaque, offrant une prime de 10% du chapeau blanc comme offrande de paix et une dernière occasion de retourner les fonds volés. La plate-forme, maintenant sous pression des utilisateurs et des partenaires, a donné à l’auteur un ultimatum: renvoyer 90% des fonds ou faire face à une escalade et à une exposition légales.
L’exploit a eu lieu le 14 avril, lorsque les chercheurs en cybersécurité, y compris le chien de garde de l’industrie, PeckShield, ont identifié que le DEX avait été compromis via une vulnérabilité Oracle Price. En termes simples, le contrat intelligent responsable de la détermination de la valeur des actifs numériques avait été manipulé, permettant à l’attaquant de falsifier les données des prix et de vider des fonds importants.
Lire plus
L’attaquant est reparti avec environ 3,3 millions de dollars du réseau de base, 3,1 millions de dollars de l’OPBNB et 1 million de dollars de la chaîne intelligente Binance, totalisant environ 7,5 millions de dollars d’actifs numériques.
Au fur et à mesure que la nouvelle s’est répandue, Kiloex s’est déplacé rapidement pour suspendre les opérations et contenir la violation. L’échange a confirmé que l’exploit était isolé et ne posait plus de menace active. Cependant, les dommages financiers et de réputation avaient déjà été causés.
Un chemin vers la rédemption?
Dans une déclaration publiée le lendemain le 15 avril, Kiloex a annoncé une décision controversée mais de plus en plus courante dans le Défi Espace: une prime du chapeau blanc. Le pirate a été offert 750 000 $ – 10% du total des fonds volés – comme récompense pour le retour des 90% restants. Kiloex a considéré l’accord comme une chance pour l’attaquant de «faire la bonne chose» et d’aider la communauté à se remettre de l’incident.
Kiloex a également publié les adresses de portefeuille liées à l’attaquant, déclarant que ces adresses étaient sous surveillance active par les partenaires de l’échange, des forces de l’ordre et de la cybersécurité. Le dex a souligné qu’ils étaient prêts à geler les fonds si un mouvement était détecté et continuerait à les suivre entre les réseaux.
Le message de l’échange vers le pirate était clair et portait un bord net: répondre maintenant ou faire face aux conséquences. Si l’attaquant refuse l’accord sur le chapeau blanc, Kiloex s’est engagé à intensifier l’affaire aux autorités de l’application des lois, à exposer l’identité du pirate et à poursuivre l’affaire par le biais de canaux juridiques avec l’aide de son réseau de cybersécurité.
Le pirate a été chargé de prendre contact via le courrier électronique officiel de Kiloex ou via un message Onchain, une méthode qui garantirait que l’anonymat de l’attaquant est préservé – au moins temporairement – devraient-ils choisir de négocier.
Une tendance croissante des violations Defi
L’approche de Kiloex n’est pas sans précédent. L’offre de primes White Hat est devenue une stratégie adoptée par plusieurs projets Defi après des violations de sécurité. Dans certains cas, ces offres ont entraîné le retour des actifs volés et ont même conduit à des collaborations avec les pirates originaux dans les futurs audits de sécurité.
Notamment, cette semaine a également vu un pirate éthique intercepter 2,6 millions de dollars dans une tentative d’exploit de laboratoires Morpho, attirant l’attention sur la ligne fine entre le chapeau noir et le comportement du chapeau blanc en finance décentralisée.
Alors que Kiloex a pris des mesures rapides pour gérer les retombées, l’avenir de l’échange dépendra probablement de la réponse de l’attaquant. Si les fonds sont retournés et la fermeture de l’affaire, Kiloex peut retrouver une partie de la confiance de la communauté. Cependant, si l’attaquant disparaît avec les actifs, le Dex fera face à une bataille juridique prolongée et à des dommages de réputation potentiellement insurmontables.
Zksync Hacker Mint 5 M $ en jetons AirDrop Utilisation du compte d’administration compromis: La baisse des prix à mesure que les efforts de récupération commencent
Dans un autre coup au secteur des finances décentralisées (DEFI), le protocole de la couche 2 Ethereum Zksync a confirmé le 15 avril qu’un pirate a exploité un compte d’administration compromis à 5 millions de dollars de jetons aériens non réclamés.
Bien qu’aucun fonds d’utilisateurs n’ait été affecté, la violation a jeté une ombre sur la campagne de distribution de jetons très attendue de Zksync et a provoqué des actions de récupération rapide du protocole et de ses partenaires.
L’attaque a été divulguée pour la première fois dans un communiqué sur le compte officiel de Zksync, où l’équipe a révélé qu’un acteur non autorisé avait eu accès à un compte administratif avec un contrôle privilégié sur trois contrats de distribution de départs aériens. En utilisant une fonction appelée SweepClaimed (), l’attaquant a frappé 111 millions de jetons ZK non réclamés, gonflant l’offre totale de jetons de 0,45% en quelques minutes.
Le compte d’administration compromis, qui était censé gérer la logistique autour de jetons non réclamés, a effectivement permis au pirate de rediriger ces fonds vers eux-mêmes. Dès les mises à jour les plus récentes, l’attaquant a toujours pris le contrôle de la majorité des fonds volés, ce qui soulève des questions urgentes autour des mesures de sécurité intérieure de la plate-forme.
Aucun fonds d’utilisateurs à risque, la gouvernance se contracte en toute sécurité
Zksync a souligné qu’il s’agissait d’un incident isolé et qu’aucun portefeuille d’utilisateurs ou applications décentralisées interagissant avec le réseau n’a été affecté. Les actions de l’attaquant se limitaient aux contrats aériens, et la gouvernance de base et les contrats intelligents en jeton restent sécurisés et inchangés, selon l’enquête officielle du protocole.
De plus, le vecteur d’exploitation utilisé – sweepunclaimed () – a maintenant été corrigé, Zksync assurant aux utilisateurs qu’aucun autre exploit n’est possible via cette méthode. La plate-forme travaille actuellement en tandem avec la Security Alliance (SEAL) pour poursuivre la récupération des jetons volés et pour enquêter sur la portée et la source de la violation.
Zksync a commencé à suivre les adresses du portefeuille de l’attaquant et collabore avec diverses agences d’application de la loi, des équipes de cybersécurité et des échanges pour surveiller, tracer et potentiellement geler les actifs volés. L’Alliance Seal, connue pour sa réponse rapide sur les incidents à travers les protocoles Defi, soutient activement l’effort.
Bien qu’aucune prime publique n’ait encore été offerte, les observateurs notent que les protocoles offrent souvent des résolutions de chapeaux blancs dans des cas similaires, en particulier lorsque la confiance des utilisateurs est en jeu. L’équipe a également promis un post-mortem détaillé dans les prochains jours.
Campagne de plateaux aériens sous surveillance
L’incident est un revers majeur pour la campagne aérienne en cours de Zksync, qui visait à distribuer 17,5% de son approvisionnement total en jetons aux adoptants, contributeurs et fournisseurs de liquidités. Avec plus de 59,22 millions de dollars de valeur totale verrouillée (TVL) sur la plate-forme de l’ère Zksync, selon DeFillama, l’Airdrop a été considéré comme une étape importante dans l’intégration de nouveaux utilisateurs et le cimentation de la place du protocole dans l’écosystème de mise à l’échelle d’Ethereum.
Zksync Total TVL (source: Défilé)
Désormais, des questions sont soulevées sur les procédures de sécurité concernant Airdrop Contrac Administration, en particulier compte tenu du risque élevé associé aux distributions de jetons – cibles pour l’exploitation dans le monde Defi.
Le marché a réagi rapidement aux nouvelles. Après la violation et la divulgation publique de Zksync vers 13h00 UTC, le jeton ZK a chuté de 16%, plongeant à un minimum de 0,040 $. Il a depuis rebondi à 0,047 $, mais reste en baisse de 7% au cours des dernières 24 heures car le sentiment des investisseurs reste prudent.
Defi hack pertes pousse en 2025
Cette dernière violation s’ajoute à une liste croissante de hacks de cryptographie de 2025, qui ont maintenant amassé 2 milliards de dollars de pertes au premier trimestre – qui éclipta maintenant les pertes totales de 2,3 milliards de dollars enregistrées en 2024, selon les plateformes d’analyse de la blockchain.
Les chiffres stupéfiants soulignent la nécessité d’une meilleure audit, une meilleure gestion des clés et des protections robustes de compte d’administration entre les protocoles Defi. Avec des parachts aériens à grande valeur, des ponts de jetons et des plates-formes d’allumage devenant courantes, les surfaces d’attaque se sont considérablement élargies, laissant même les projets les plus financés vulnérables.
Résumé: Les récentes violations de sécurité sur les plateformes Zksync et Kiloex soulignent la vulnérabilité croissante des projets DeFi. Les deux plateformes ont été affectées par des exploits importants, entraînant des pertes massives, tout en assurant que les fonds des utilisateurs restaient sécurisés. Kiloex offre une prime à un hacker en quête de récupération, tandis que Zksync travaille avec les forces de l’ordre pour contrecarrer le vol des actifs. La confiance des utilisateurs dans ces plateformes pourrait être durement éprouvée à l’avenir.
