Le monde de la finance décentralisée vient de subir un nouveau piratage. L’exchange décentralisé Cetus Protocol a été victime d’une cyberattaque qui s’est soldée par le vol de 223 millions de dollars en cryptomonnaies. Grâce à une faille dans le système, le pirate est parvenu à détourner les fonds. Cetus propose un accord à l’amiable au cybercriminel, et met tout en œuvre pour geler les fonds…
Cetus Protocol, un exchange décentralisé qui repose sur la blockchain Sui, a été victime d’une cyberattaque. Au cours de l’intrusion, les attaquants se sont envolés avec 223 millions de dollars en cryptomonnaies. En réaction, Cetus a pris la décision de suspendre son contrat intelligent, le programme qui gère les transactions automatiquement sur le protocole. Ce blocage permet d’éviter « tout nouveau vol de fonds ».
Dear Sui community, thank you for your patience while our team works on the incident investigation and resolution.
Since taking the actions indicated in our previous announcement, we have also done the following:
1. We engaged the broader ecosystem, Sui team, and related… https://t.co/Gs1EWXZ6AD
— Cetus
(@CetusProtocol) May 22, 2025
Apparemment, l’offensive s’est appuyée sur le contrat intelligent pour dérober les fonds présents sur le protocole. Selon l’équipe de Cetus, « la cause profonde de l’exploit » a été identifiée. Il s’agit d’un « package », c’est-à-dire un bout de coude défectueux. Les développeurs n’en disent pas plus, mais précisent que le problème a été corrigé.
Aux dires des chercheurs d’Elliptic, l’attaquant a exploité une faille dans les algorithmes programmés pour fixer les prix des actifs d’une réserve de cryptos bloquées dans un contrat intelligent. En exploitant la brèche, l’attaquant a pu obtenir un prêt flash, sans devoir rembourser directement les cryptos. En clair, le pirate a utilisé de faux jetons sans valeur pour tromper les algorithmes. Grâce à ça, il a pu emprunter de vraies cryptos sans que le contrat intelligent n’y trouve à redire. Il s’est ensuite envolé avec les fonds, sans avoir remboursé son prêt automatiquement, comme le veut normalement un prêt flash. Les fonds ont été convertis en stablecoins, comme l’USDC, avant d’être échangés contre de l’Ether.
À lire aussi : Le géant des cryptos Coinbase a subi une fuite de données
Blocage de fonds, prime et négociations
En parallèle, l’exchange a tout mis en œuvre pour bloquer et récupérer toutes les cryptomonnaies dérobées par les pirates. Cetus explique avoir « fait appel à des organisations professionnelles de lutte contre la cybercriminalité » et être « en contact avec les forces de l’ordre ». Le protocole est ainsi parvenu à identifier l’adresse et tous les comptes Ethereum de l’attaquant. Plus de 160 millions de dollars de cryptos volées ont pu être gelées sur la blockchain Sui. Les validateurs, en charge de valider les transactions sur le réseau, ont voté dans l’urgence pour paralyser les actifs numériques.
Cetus offre une prime de 5 millions de dollars pour toute personne ayant des informations qui mènent à l’identification et à l’arrestation du cybercriminel. Par ailleurs, l’équipe a tenu à proposer un accord à l’amiable au pirate. Si celui-ci rend l’intégralité des cryptomonnaies volées, Cetus n’engagera pas de poursuites judiciaires à son encontre. Si « le pirate coopère et accepte notre offre comme nous l’espérons, nous nous abstiendrons de toute action en justice ou de tout recours ». Ce n’est pas rare que les développeurs de la finance décentralisée préfèrent négocier avec un pirate plutôt que de jouer au chat et à la souris à travers les blockchains.
UPDATE: We have not received any communication from the hacker. We encourage the hacker to sincerely consider our offer terms.
Simultaneously, with the support of Inca Digital and financial support from Sui Foundation, we are announcing a bounty of $5M for relevant information…
— Cetus
Sur la blockchain Ethereum, Cetus a déposé un message assurant que « les principales plateformes d’échange » et les gestionnaires de ponts blockchain sont prévenus et sont mobilisés afin de geler les actifs. « Comme vous le savez, tous les fonds exploités sur le réseau Sui, actuellement détenus dans vos portefeuilles, ont été gelés », déclare l’équipe de Cetus, soucieuse de mettre la pression sur le hacker.
« Cette offre est valable pour une durée très limitée. Si les actifs sont retirés ou dissimulés, nous déploierons tous les moyens juridiques et de renseignement disponibles à l’échelle mondiale.Toute tentative de blanchiment d’argent empêchera définitivement un règlement à l’amiable », indique la proposition de Cetus.
À lire aussi : Le piratage de plateformes crypto est devenu « un travail à temps plein »
6 millions de dollars dans les poches du pirate ?
S’il coopère et rend l’argent, l’attaquant pourra conserver environ 6 millions de dollars en cryptomonnaies. Pour le moment, le pirate n’a pas encore répondu à la proposition de Cetus. Quoi qu’il advienne, le hack a profondément bouleversé Cetus et l’écosystéme Sui, dont les tokens ont dévissé suite à l’annonce d’un piratage.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.