Mai DeFi n'est pas calme ! La passerelle cross-chain Verus a été piratée pour 11,58 millions de dollars, le nombre d'attaques ce mois-ci s'élève à 13.

Le réseau blockchain axé sur la confidentialité et la décentralisation Verus, dont le pont inter-chaînes Ethereum est actuellement victime d’une attaque de hackers, a déjà perdu environ 11,58 millions de dollars. Avant cet incident, en mai, 12 projets DeFi avaient déjà été attaqués.

Le pont inter-chaînes Verus aurait été piraté, avec une perte de plus de 11,58 millions de dollars

Le réseau blockchain axé sur la confidentialité et la décentralisation Verus, dont le pont inter-chaînes Ethereum est actuellement victime d’une attaque de hackers, n’a pas encore répondu au public ou aux médias.

Selon les investigations de la société de cybersécurité PsaShield et Blockaid, les données on-chain montrent que les attaquants ont siphonné 103,6 tBTC, 1 625 ETH et 140 700 USDC depuis le pont inter-chaînes, et ont échangé tous ces actifs volés contre 5 402 ETH.

Source de l’image : Blockaid

L’organisme de sécurité GoPlus a analysé plus en détail, suggérant que les attaquants ont probablement envoyé des transactions de faible valeur au contrat du pont inter-chaînes, puis appelé des fonctions spécifiques permettant au contrat de transférer en masse les réserves d’actifs vers le portefeuille du hacker. Cet incident pourrait être dû à une falsification de la vérification des messages inter-chaînes, à une contournement de la logique de retrait ou à une faille dans le contrôle d’accès.

Le fondateur de SlowMist, Yuán Xián, a également indiqué que la cause du vol pourrait être la construction d’une preuve Merkle falsifiée, qui aurait passé la vérification du pont Ethereum de Verus (non open source), permettant ainsi aux hackers de retirer avec succès des fonds (ETH/tBTC/USDC). Les détails précis doivent encore être vérifiés.

Source de l’image : Yuán Xián

De plus, l’adresse des attaquants aurait transféré environ 1 ETH via le mixeur Tornado Cash environ 14 heures avant l’attaque, en tant que fonds initiaux. À ce jour, l’équipe officielle de Verus n’a pas publié de déclaration publique concernant cet incident.

Affaire Verus, survenue trois jours après l’incident de THORChain

Le moment de l’attaque contre le pont inter-chaînes Verus coïncide avec l’attaque de THORChain, un autre protocole de liquidité inter-chaînes bien connu, survenue trois jours auparavant.

Selon « Crypto City », THORChain a confirmé le 15 mai avoir été piraté, avec une perte d’environ 10,8 millions de dollars. Après la détection de transactions anormales, l’équipe a immédiatement suspendu les échanges et certaines fonctionnalités inter-chaînes, en collaboration avec des équipes de sécurité pour enquêter.

Les premières investigations indiquent que les hackers ont probablement exploité la faille dans le mécanisme de signature multi-parties GG20 TSS et la vulnérabilité de collaboration avec des nœuds malveillants, mais les portefeuilles des utilisateurs n’ont pas été compromis. Les pertes se concentrent principalement sur la liquidité du protocole et ses pools d’actifs internes.

Les hackers de DeFi ciblent désormais l’infrastructure, avec une puissance de destruction accrue

Le secteur DeFi a connu une année mouvementée. Selon les données de DeFiLlama, avant l’incident de Verus, en mai 2026, 12 protocoles DeFi avaient déjà été attaqués, avec des pertes cumulées dépassant 20 millions de dollars ce mois-là. En incluant Verus, cela fait 13 protocoles, avec des pertes atteignant plusieurs millions de dollars.

Plusieurs attaques récentes montrent que les hackers se tournent de plus en plus vers l’attaque des couches d’infrastructure, au lieu de se limiter à exploiter des vulnérabilités dans les smart contracts.

Le risque des protocoles inter-chaînes dépasse largement celui des DeFi sur chaîne unique, car leur architecture implique la synchronisation d’informations inter-chaînes, la vérification par des nœuds, le routage d’actifs et la signature multi-parties, ce qui complique la sécurité.

Les attaques actuelles sur l’infrastructure incluent l’appel de procédures à distance (RPC), les réseaux de validation, les oracles et les systèmes d’information inter-chaînes. Ces attaques sont souvent plus difficiles à détecter, et une fois réussies, peuvent facilement entraîner le transfert de grandes quantités de fonds.

Prenons l’exemple de l’incident de KelpDAO au début de 2026, qui a perdu jusqu’à 292 millions de dollars en peu de temps. Le rapport de LayerZero, un protocole inter-chaînes, indique que le problème principal réside dans le fait que KelpDAO utilisait un seul validateur pour ses configurations inter-chaînes.

Source de l’image : KelpDAO L’incident de KelpDAO au début de 2026, avec une perte de 292 millions de dollars

Les hackers ont pollué certaines transactions RPC, modifiant l’état des nœuds sur la chaîne, ce qui a conduit les validateurs à mal juger la véracité des informations, permettant ainsi la falsification des données inter-chaînes et le contournement des contrôles de sécurité. Le co-fondateur de LayerZero a reconnu publiquement que la conception du protocole comportait une erreur, et a exprimé sa volonté d’assumer la responsabilité.

• Rapport détaillé : LayerZero admet une erreur de conception : analyse des failles de sécurité derrière le piratage de KelpDAO de 290 millions de dollars

La crise devient une opportunité, l’industrie DeFi entre dans une phase de réévaluation

L’année 2026 a été sans aucun doute une année mouvementée pour le secteur DeFi, mais ces nombreux incidents de sécurité ont aussi été l’occasion pour l’industrie de se remettre en question et de progresser.

De nombreux systèmes inter-chaînes prétendant à la décentralisation dépendent encore fortement de quelques validateurs ou infrastructures relais. Une seule compromission d’un validateur peut permettre à un attaquant de falsifier des informations inter-chaînes, créant ou transférant des actifs de manière frauduleuse.

Avec l’augmentation des fonds en jeu, les hackers investissent davantage dans la recherche de vulnérabilités dans l’architecture inter-chaînes, augmentant la difficulté et l’impact potentiel des attaques sur l’infrastructure.

L’avenir du DeFi devrait évoluer vers un modèle plus sécurisé, privilégiant la stabilité plutôt que la vitesse d’innovation. L’intégration d’architectures modulaires, de contrôles d’accès, de surveillance en temps réel et de systèmes de vérification multi-couches seront essentielles pour la prochaine étape de développement des infrastructures. Alors que les protocoles inter-chaînes deviennent des piliers du finance décentralisée, la demande de stabilité et de sécurité s’intensifiera.

Par ailleurs, la transparence des grands protocoles sur leurs défauts de conception témoigne d’une maturité croissante dans la culture de responsabilité du Web3. Après l’incident de KelpDAO, l’industrie a rapidement rassemblé 300 millions de dollars pour sauver les actifs défaillants, illustrant la résilience de l’écosystème Ethereum.

Lectures complémentaires :
DeFi, trop lent pour les jeunes, trop risqué pour les vieux : et si on se contentait des intérêts des obligations d’État, tout en supportant le risque des dettes pourries ?

Sauver les actifs défaillants de la DeFi ! Aave et autres géants rassemblent rapidement 300 millions de dollars, montrant la cohésion de l’écosystème Ethereum.