Pirate informatique s’empare d’un million de dollars : le protocole stablecoin USPD dans la tourmente

Un exploitant de protocole stablecoin vient de subir une attaque ciblée. Les détails techniques pointent vers une vulnérabilité exploitée avec une précision chirurgicale.

Le montant du préjudice

Le bilan s'élève à un million de dollars de fonds détournés. Cette somme, bien que significative, reste contenue à l'échelle du secteur—une simple pénalité de retard pour certaines banques traditionnelles.

Mécanisme de l'attaque

L'attaquant a identifié et exploité une faille dans la logique du contrat intelligent. La méthode contourne les garde-fous habituels, siphonnant les actifs avant que les mécanismes de sécurité ne puissent réagir.

Conséquences pour l'écosystème

L'incident déclenche immédiatement des audits de sécurité renforcés parmi les protocoles similaires. La confiance des utilisateurs, toujours fragile, subit un nouveau test de résistance.

La réponse de l'industrie

Les équipes de développement se mobilisent pour patcher la vulnérabilité et tracer les fonds volés. La course contre la montre est engagée pour limiter les dommages collatéraux.

Cette attaque rappelle une vérité fondamentale : dans la finance décentralisée, le code est loi, et chaque ligne peut coûter un million de dollars. Une leçon chèrement payée, mais qui, comme toujours, sera facturée aux utilisateurs finaux.

Un pirate informatique de l'USPD a exploité des proxys pour tromper le protocole et obtenir une cryptomonnaie. 

Le DeFi mentionne que la faille a exploité un vecteur d'attaque complexe nommé « CPIMP », acronyme de Clandestine Proxy In the Middle of Proxy (Proxy clandestin au milieu du proxy). L'USPD explique que l'attaquant a intercepté l'initialisation du proxy le 16 septembre lors de son déploiement, en utilisant une transaction Multicall3

2/ Il ne s'agissait pas d'un défaut dans notre logique detracintelligent.

Le protocole USPD a fait l'objet d'audits de sécurité rigoureux menés par les entreprises de premier plan NethermindEth et Resonance. Notre code est entièrement testé unitairement et respecte les normes strictes du secteur. La logique elle-même demeure sécurisée.

— USPD.IO | Le dollar de la nation décentralisée (@USPD_io) 4 décembre 2025

Le pirate a utilisé CPIMP pour s'emparer discrètement des droits d'administrateur avant l'exécution complète des scripts du protocole, attendant des mois avant de commencer à émettre des cryptomonnaies sans autorisation. Il a mis en place untrac« fantôme » qui redirigeait les appels vers le code audité de l'USPD, puis a subtilement manipulé la charge utile des événements et usurpé l'emplacement de stockage pour tromper Etherscan et lui faire afficher letracaudité original. 

« Ce camouflage a permis à l'attaquant de se dissimuler à la vue de tous pendant des mois, en contournant les outils de vérification et les contrôles manuels. Aujourd'hui, il a utilisé cet accès caché pour mettre à niveau le proxy, générer environ 98 millions de dollars USPD et détourner environ 232 millions d'ETH », a écrit l'USPD.

L'analyste blockchain Emmet Gallic a réitéré l'analyse du protocole DeFi , ajoutant qu'une initialisation de proxy avait provoqué l'attaque lors du déploiement. 

« L’attaquant a revendiqué des droits d’administrateur, a installé une implémentation parallèle qui a falsifié Etherscan pour afficher letracaudité. Le protocole a été piraté pendant des mois », a-t-il supposé.

La police américaine poursuit son enquête et promet une prime au pirate informatique.

En réponse à l'attaque, l'USPD a déclaré collaborer étroitement avec les forces de l'ordre et les groupes de sécurité éthiques afin de tracet de bloquer les fonds volés. « Nous avons signalé les adresses de l'attaquant à toutes les principales plateformes d'échange centralisées et décentralisées afin de bloquer les flux financiers », a indiqué l'équipe.

Le protocole indiquait également être disposé à régler le différend avec l'attaquant si les fonds étaient restitués, déduction faite d'une prime de 10 % (prime standard pour la découverte du bug). Il s'engageait à abandonner toute action des forces de l'ordre si l'offre était acceptée et encourageait l'attaquant à le contacter directement ou à restituer 90 % des actifs volés pour que l'affaire soit close.

« Nous sommes profondément attristés d'avoir été victimes de ce vecteur d'attaque émergent et extrêmement complexe malgré des audits rigoureux et le respect des meilleures pratiques. Nous mettons tout en œuvre pour récupérer nos actifs », a déclaré l'USPD à sa communauté.

Selon CoinMarketCap, l'ancrage du stablecoin au dollar américain n'a pas été affecté jusqu'à présent, mais son volume a chuté de 20 % au cours des dernières 24 heures pour atteindre environ 2,56 millions de dollars.

Les violations de protocoles de stablecoins DeFi étaient autrefois bien plus importantes que celles auxquelles l'USPD était confrontée, notamment le piratage d'Euler Finance en 2023 qui a entraîné des pertes de plus de 197 millions de dollars après que les stablecoins ont été retirés de ses pools de prêt. 

Deux protocoles DeFi en mode de récupération après les failles de sécurité de novembre

Lundi dernier, Yearn Finance est devenu le dernier protocole à subir une attaque sur son jeton d'indexation de staking liquide, yETH. L'auteur de l'attaque a émis un nombre quasi illimité de jetons et a dérobé environ 3 millions de dollars en ETH. 

Yearn Finance avait déjà subi une perte de 9 millions de dollars sur sa plateforme d'échange stable yETH le 30 novembre, mais comme l'a rapporté mercredi, la société a déjà commencé à récupérer les fonds volés. À ce jour, l'équipe a récupéré avec succès 2,39 millions de dollars, qui seront restitués aux déposants concernés.

Balancer, un autre protocole DeFi qui a perdu 128 millions de dollars suite à une faille de sécurité de la version 2, a annoncé la semaine dernière son intention de rembourser environ 8 millions de dollars aux fournisseurs de liquidités.

Recevez jusqu'à 30 050 $ de récompenses commerciales en rejoignant Bybit aujourd'hui