Ink Finance et Renegade signalent des exploits alors que les hackers continuent de piller la DeFi

Deux protocoles DeFi, Ink Finance et Renegade, ont perdu un total de 349 000 $ lors d’exploits distincts survenus en moins de deux jours.

Renegade, qui a levé environ 3,4 millions de dollars lors d’un tour de financement en 2023 dirigé par Dragongly Capital, détient actuellement plus de 129 500 $ en valeur totale verrouillée sur ses déploiements Base et Arbitrum, selon DefiLlama. Le protocole détenait plus de 338 000 $ avant le piratage.

La TVL de Renegade a chuté brusquement après l’exploit de mai. Source : DeFiLlama.

Ink Finance n’a pas reconnu ni publié de déclaration publique concernant l’exploit.

Les derniers exploits sont considérés comme une extension de la série d’attaques qui a fait d’avril 2026 le mois le plus meurtrier en termes de pertes de contrats intelligents.

Ink Finance et Renegade subissent des exploits

L’exploit d’Ink Finance a été signalé par la société de sécurité blockchain Blockaid le 11 mai. Selon Blockaid, l’attaquant a drainé environ 140 000 $ du contrat Proxy de la trésorerie Workspace du protocole sur Polygon.

Les malfaiteurs ont déployé un contrat à une adresse correspondant à une entrée de réclamation en liste blanche dans le contrôleur Workspace d’Ink Finance, puis ont appelé la fonction de réclamation pour passer la vérification d’éligibilité et déclencher un transfert autorisé depuis le proxy de la trésorerie.

Renegade, le DEX de pool sombre, a subi son propre exploit la veille, le 10 mai. Confirmant un post de Blockaid, le protocole a déclaré qu’un déploiement V1 hérité sur Arbitrum avait été exploité pour environ 209 000 $.

Il a informé le public que le hacker éthique a déjà restitué environ $190k et a ajouté que tous les utilisateurs affectés seront indemnisés.

Renegade a confirmé que la vulnérabilité était limitée au déploiement V1 sur Arbitrum et n’a pas affecté ses autres contrats.

Les pertes du pont Syndicate s’ajoutent au bilan

Les deux exploits font suite à une série d’incidents qui ont commencé fin avril. Le 30 avril, Syndicate Labs a annoncé avoir subi un incident de sécurité. Il s’agissait d’une compromission de clé privée permettant des mises à jour malveillantes des contrats de pont sur deux chaînes, entraînant la perte d’environ 18,5 millions de jetons SYND et 50 000 $ en autres jetons.

Le 10 mai, Syndicate a déclaré avoir remboursé en totalité tous les détenteurs de SYND affectés sur Commons Chain, plus 15 % supplémentaires du montant total perdu. Les remboursements ont été envoyés directement aux portefeuilles affectés sur Base, avec les frais de gaz couverts par Syndicate Labs.

Les attaques assistées par l’IA augmentent la gravité

Les exploits DeFi sont en hausse à un rythme sans précédent. Il y a de plus en plus de preuves que des outils d’IA sont utilisés pour réduire la barrière pour les attaquants.

Une recherche d’a16z Crypto a découvert qu’un agent de codage IA prêt à l’emploi, ne disposant que d’une adresse de contrat et d’outils de développement de base, pouvait identifier et exploiter de manière autonome des vulnérabilités de contrats intelligents dans 10 % des cas. Le taux de réussite est monté à 70 % lorsque l’agent disposait de connaissances structurées sur les schémas d’attaque courants.

GoPlus Security aurait signalé quatre exploits distincts de contrats intelligents sur le réseau principal Ethereum en 48 heures, se terminant le 29 avril, avec des pertes combinées dépassant 1,5 million de dollars, selon le même rapport. La société considère que le rythme actuel des attaques assistées par l’IA est une « course contre la montre à la seconde ».

Il existe un compromis entre laisser de l’argent en banque et tenter sa chance dans la crypto. Commencez par cette vidéo gratuite sur la finance décentralisée.