Renegade récupère $190K après que le hacker ait rendu 90 % des fonds volés

Renegade, le protocole DeFi derrière la première dark pool en chaîne sur Arbitrum, a récupéré la majeure partie de ses fonds. Un hacker whitehat qui a drainé environ $209K de la plateforme le 10 mai a rendu environ $190K le lendemain, en conservant environ $21K en tant que prime auto-attribuée.

Ce qui s’est passé et comment l’exploitation a fonctionné

La vulnérabilité résidait dans un initialiseur non protégé au sein du contrat proxy de la dark pool de Renegade. Une fonction de configuration critique qui aurait dû être verrouillée a été laissée ouverte, permettant à l’attaquant d’utiliser un appel délégué pour prendre le contrôle et drainer les fonds.

L’exploitation a affecté 27 jetons ERC-20 différents détenus dans la dark pool. Renegade a agi rapidement après avoir détecté la brèche, envoyant un message en chaîne à l’adresse de l’exploitant proposant des conditions pour le retour des fonds. L’accord était simple : renvoyer 90 %, garder 10 % en prime, et partir propre. Le hacker a accepté en environ une journée.

L’adresse de mise en œuvre concernée a été identifiée comme étant 0xc038933d0b33359f5C87B4B2f92Ee0DAd11EaDc5. Renegade a conseillé aux utilisateurs de révoquer toute approbation de jetons associée à cette adresse pour éviter tout risque supplémentaire.

La vision d’ensemble sur la sécurité en DeFi

Avril 2026 a vu plus de 632 millions de dollars volés sur plus de 20 protocoles, avec des cas de grande envergure comme l’exploitation de KelpDAO contribuant à ce chiffre. Dans ce contexte, perdre $209K et en récupérer 90 % représente un résultat nettement différent.

Renegade a lancé sur Arbitrum One début 2026, ce qui en faisait un protocole relativement jeune au moment de l’exploitation. Le hacker a affirmé que l’action visait à protéger les utilisateurs dans le cadre de la DeFi.

Ce que cela signifie pour les investisseurs

Pour les utilisateurs de Renegade en particulier, le dommage financier immédiat était limité. Récupérer $190K sur le $209K drainé signifie que la perte nette se situe à environ 21 000 dollars. Les utilisateurs individuels dont les jetons faisaient partie des 27 affectés ont peut-être connu une perturbation temporaire.

Un initialiseur non protégé est un problème évitable. Cela soulève des questions sur la profondeur de la couverture d’audit de Renegade et si son processus de revue de contrats intelligents a détecté d’autres vulnérabilités potentielles.

                    **Divulgation :** Cet article a été modifié par l’équipe éditoriale. Pour plus d’informations sur la façon dont nous créons et révisons le contenu, consultez notre Politique éditoriale.