- Une faille dans un smart contract vieux de cinq ans a permis de minter du TRU à coût nul, puis de siphonner 8 535 ETH, provoquant un effondrement brutal du token.
- L’attaque a reposé sur des boucles achat revente via la bonding curve, avec priorisation des transactions, jusqu’à vider presque entièrement les réserves du protocole.
- TRU a perdu 99,9 % de sa valeur, devenant quasi illiquide, et l’incident relance les inquiétudes majeures autour des contrats legacy encore actifs en DeFi.
Le token TRU de Truebit s’est littéralement évaporé en quelques heures. Jeudi, le cours a chuté de près de 99,9 % après qu’un attaquant a exploité une faille dans un ancien smart contract pour siphonner environ 8 535 ether, soit près de 26,6 millions de dollars aux prix du marché. Un effondrement quasi total, brutal, et révélateur des risques persistants liés aux contrats hérités.
Une faille ancienne de 5 ans, mais toujours active
Truebit, un protocole Ethereum spécialisé dans la vérification et le calcul décentralisés, a confirmé être au courant d’un incident de sécurité impliquant un ou plusieurs acteurs malveillants. Le problème ne vient pas du code le plus récent, mais d’un smart contract déployé il y a environ cinq ans.
Selon plusieurs analystes on-chain, ce contrat contenait une logique de mint défaillante. Pour certaines transactions de taille anormalement élevée, la fonction de calcul du prix pouvait retourner… zéro. Résultat : l’attaquant pouvait acheter des quantités massives de TRU sans rien payer, puis les revendre immédiatement au protocole via la bonding curve pour extraire de l’ETH.
Une mécanique de siphonnage méthodique
L’attaque ne s’est pas faite en un seul coup. Elle a reposé sur une série de boucles achat-vente, exploitant les déséquilibres temporaires du pool de réserve à mesure que des ETH étaient drainés. À chaque itération, le contrat recalculait les prix sur des bases faussées, permettant de continuer l’extraction jusqu’à assécher presque entièrement les fonds disponibles.
Le portefeuille utilisé aurait même payé un léger “builder bribe” afin de prioriser ses transactions, accélérant l’attaque et réduisant les chances d’intervention externe.
À mesure que la réserve se vidait, la liquidité du token disparaissait. Le marché a rapidement compris ce qui se passait. Les détenteurs ont tenté de sortir en urgence, précipitant l’effondrement du prix.
Un crash quasi total du token TRU
L’impact sur le marché a été immédiat. TRU a plongé jusqu’à perdre 99,9 % de sa valeur. Dans les faits, le token est devenu pratiquement illiquide, avec un prix proche de zéro. Pour les investisseurs, il s’agit d’une destruction de valeur quasi intégrale, sans possibilité réaliste de récupération à court terme.
Truebit a communiqué l’adresse du contrat affecté et a exhorté le public à ne plus interagir avec celui-ci. Le protocole indique être en contact avec les forces de l’ordre, sans préciser si les contrats concernés ont été mis en pause ni si une récupération partielle des fonds est envisageable.
Le rappel brutal des risques liés aux contrats legacy
Cet incident illustre un problème structurel récurrent dans la DeFi : les contrats anciens, parfois oubliés, restent exploitables tant qu’ils détiennent des fonds ou sont reliés à des réserves actives. Mettre à jour le code principal ne suffit pas toujours. Les surfaces d’attaque persistent, parfois pendant des années, jusqu’à ce qu’un acteur les redécouvre.
Pour l’écosystème, le message est clair. Les audits ponctuels et les migrations partielles ne protègent pas contre les failles historiques. Et pour Truebit, au-delà de la perte financière, c’est désormais la crédibilité même du protocole qui se retrouve sérieusement compromise.
