Le DeFi de mai n'est pas calme ! La passerelle cross-chain Verus a été piratée pour 11,58 millions de dollars, et le nombre d'attaques ce mois-ci a augmenté à 13.

Le réseau blockchain axé sur la confidentialité et la décentralisation Verus, dont le pont inter-chaînes Ethereum est actuellement victime d’une attaque de hackers, a déjà perdu environ 11,58 millions de dollars. Avant cet incident, en mai, 12 projets DeFi avaient déjà été attaqués.

Le pont inter-chaînes Verus aurait été piraté, avec une perte de plus de 11,58 millions de dollars

Le réseau blockchain axé sur la confidentialité et la décentralisation Verus, dont le pont inter-chaînes Ethereum est actuellement victime d’une attaque de hackers, n’a pas encore répondu au public ou aux médias.

Selon les enquêtes de la société de cybersécurité PsaShield et Blockaid, les données on-chain montrent que les attaquants ont siphonné 103,6 tBTC, 1 625 ETH et 140 700 USDC depuis le pont inter-chaînes, et ont échangé tous ces actifs volés contre 5 402 ETH.

Source de l’image : Blockaid

L’organisme de sécurité GoPlus a analysé plus en détail, suggérant que les attaquants ont probablement envoyé des transactions de faible valeur au contrat du pont inter-chaînes, en appelant des fonctions spécifiques pour transférer en masse les réserves d’actifs vers le portefeuille du hacker. Cet incident pourrait être dû à une falsification de la vérification des messages inter-chaînes, à une contournement de la logique de retrait ou à une vulnérabilité dans le contrôle d’accès.

Le fondateur de SlowMist, Yu Cian, a également indiqué que la cause du vol pourrait être la construction d’une preuve Merkle falsifiée, qui aurait passé la vérification du pont Ethereum de Verus (non open source), permettant ainsi aux hackers de retirer les fonds (ETH/tBTC/USDC). Les détails précis doivent encore être vérifiés.

Source de l’image : Yu Cian

De plus, l’adresse des attaquants aurait transféré environ 1 ETH via le mixeur Tornado Cash environ 14 heures avant l’attaque, en tant que fonds initiaux. À ce jour, l’équipe officielle de Verus n’a pas publié de déclaration publique concernant cet incident.

Affaire Verus, survenue trois jours après l’incident de THORChain

Le moment de l’attaque contre le pont inter-chaînes Verus coïncide avec celle de la célèbre plateforme de liquidité inter-chaînes THORChain, survenue trois jours plus tôt.

Selon CryptoCity, THORChain a confirmé le 15 mai avoir été piraté, avec une perte estimée à environ 10,8 millions de dollars. Après la détection de transactions anormales, l’équipe a immédiatement suspendu les échanges et certaines fonctionnalités inter-chaînes, en lançant une enquête conjointe avec des experts en sécurité.

Les premières investigations indiquent que les hackers ont probablement exploité une vulnérabilité dans le mécanisme de multi-signature GG20 TSS et la collaboration avec des nœuds malveillants, mais les portefeuilles des utilisateurs n’ont pas été compromis. Les pertes se concentrent principalement sur la liquidité du protocole et les pools d’actifs internes.

Les hackers de DeFi ciblent désormais l’infrastructure, avec une augmentation de la dissimulation et de la capacité de destruction

Le secteur DeFi a connu une année mouvementée. Selon les données de DeFiLlama, avant l’incident de Verus, en mai 2026, 12 protocoles DeFi avaient déjà été attaqués, avec des pertes cumulées dépassant 20 millions de dollars ce mois-là. En incluant Verus, cela fait 13 protocoles, avec des pertes atteignant plusieurs millions de dollars.

Plusieurs attaques récentes montrent que les hackers ont changé leur cible, passant de la recherche de vulnérabilités dans les contrats intelligents à des attaques plus profondes sur l’infrastructure.

Les risques liés aux protocoles inter-chaînes sont bien plus élevés que ceux des DeFi sur une seule chaîne, car leur architecture implique la synchronisation d’informations inter-chaînes, la vérification par des nœuds, le routage d’actifs et la multi-signature, ce qui complique leur sécurité.

Les attaques actuelles sur l’infrastructure incluent l’appel de procédures à distance (RPC), les réseaux de validation, les oracles et les systèmes d’information inter-chaînes. Ces attaques sont souvent plus difficiles à détecter, et une fois réussies, peuvent facilement transférer de grandes quantités de fonds.

Prenons l’exemple de l’incident de KelpDAO au début de 2026, qui a perdu jusqu’à 292 millions de dollars en peu de temps. Le rapport de LayerZero, un protocole inter-chaînes, indique que le problème principal résidait dans la configuration inter-chaînes de KelpDAO, qui utilisait un seul validateur.

Source de l’image : KelpDAO L’incident de KelpDAO au début de 2026, avec une perte de 292 millions de dollars en peu de temps

Les hackers ont pollué le RPC, modifiant l’état de certains nœuds sur la chaîne, ce qui a induit en erreur les validateurs quant à la véracité des informations, leur permettant de falsifier les données inter-chaînes et de contourner la sécurité. Le co-fondateur de LayerZero a reconnu publiquement que la conception du protocole comportait une erreur et a exprimé sa volonté d’en assumer la responsabilité.

• Rapport détaillé : LayerZero admet une erreur de conception : analyse des failles de sécurité derrière le piratage de KelpDAO de 290 millions de dollars

La crise devient une opportunité, le DeFi entre dans une phase de réévaluation

L’année 2026 a été sans aucun doute une année mouvementée pour le secteur DeFi, mais ces incidents de sécurité fréquents ont aussi été une occasion pour l’industrie de réfléchir et de progresser.

De nombreux systèmes inter-chaînes prétendant à la décentralisation dépendent encore fortement de quelques validateurs ou infrastructures relais. Une seule compromission d’un validateur peut permettre à un attaquant de falsifier des informations inter-chaînes, créant ou transférant des actifs de manière frauduleuse.

Avec l’augmentation des fonds en jeu, les hackers investissent davantage dans la recherche de vulnérabilités dans l’architecture inter-chaînes, augmentant la difficulté et le potentiel de destruction des attaques sur l’infrastructure.

L’avenir du DeFi devrait évoluer d’une recherche d’innovation rapide vers une approche plus prudente, axée sur la sécurité. Les architectures modulaires, la séparation des permissions, la surveillance en temps réel des risques et les systèmes de vérification multi-niveaux deviendront essentiels pour la prochaine étape de développement des infrastructures. Alors que les protocoles inter-chaînes deviennent le pilier de la finance décentralisée, la demande de stabilité et de sécurité s’intensifiera.

Par ailleurs, la volonté des grands protocoles d’admettre publiquement leurs défauts de conception témoigne d’une maturité croissante dans la culture de responsabilité du Web3. Après l’incident de KelpDAO, l’industrie a rapidement rassemblé 300 millions de dollars pour sauver les actifs défaillants, illustrant la résilience de l’écosystème Ethereum.

Lecture complémentaire :
DeFi, trop lent pour les jeunes, trop risqué pour les vieux : nous percevons tous les intérêts des obligations publiques, en supportant le risque des dettes pourries ?

Sauver les actifs défaillants de la DeFi ! Aave et autres géants ont rapidement rassemblé 300 millions de dollars, montrant la cohésion de l’écosystème Ethereum.