Le Chaos du Web3 Frappe Fort : Des Millions Drainés en Seulement Deux Semaines de 2026 – Rapport

Extropy signale des piratages cryptographiques majeurs en janvier 2026. Truebit perd 26 millions de dollars, une violation de données chez Ledger expose les utilisateurs, et les attaques d'hameçonnage augmentent.

Les deux premières semaines de 2026 ont apporté une vague d'incidents de sécurité sur les plateformes Web3. 

Extropy a publié son rapport Security Bytes documentant ces événements. Les conclusions dressent un tableau préoccupant du paysage actuel des menaces.

Selon le rapport, les attaquants ont poursuivi leurs opérations pendant la période des fêtes. Les dommages vont des exploits de plusieurs millions de dollars aux campagnes d'hameçonnage sophistiquées.

Le protocole Truebit perd 26 millions de dollars à cause d'une faille dans le code hérité

Le premier incident majeur de l'année a frappé le protocole Truebit le 8 janvier. Un attaquant a drainé environ 26 millions de dollars dans ce qu'Extropy appelle un exploit de "code zombie".

La vulnérabilité provenait d'un dépassement d'entier dans les contrats intelligents hérités. Ces anciens contrats ne disposaient pas des protections natives contre le dépassement de Solidity moderne. L'attaquant a créé des millions de jetons TRU pratiquement sans frais.

Une fois créés, les jetons ont été réinjectés dans le protocole. Toute la liquidité disponible a disparu en quelques heures. Le prix du jeton TRU s'est effondré de près de 100 % en seulement 24 heures.

Extropy note que l'attaquant a immédiatement transféré 8 535 ETH via Tornado Cash. Les entreprises de sécurité ont ensuite lié le portefeuille à un précédent exploit du protocole Sparkle. Cela suggère un récidiviste ciblant spécifiquement les contrats abandonnés.

Le rapport avertit que les contrats hérités restent une vulnérabilité critique. Les projets doivent soit surveiller, soit déprécier activement l'ancien code.

TMXTribe regarde 1,4 million de dollars se drainer en 36 heures

Entre le 5 et le 7 janvier, TMXTribe a subi une attaque plus lente mais tout aussi dévastatrice. Le fork GMX sur Arbitrum a perdu 1,4 million de dollars sur 36 heures continues.

Extropy décrit l'exploit comme mécaniquement simple. Une boucle créait des jetons LP, les échangeait contre des stablecoins, puis retirait les mises de manière répétée. Les contrats non vérifiés ont empêché l'analyse publique de la faille exacte.

Ce qui a le plus troublé les chercheurs était la réponse de l'équipe. Selon le rapport, les développeurs sont restés actifs on-chain tout au long de l'attaque. Ils ont déployé de nouveaux contrats et exécuté des mises à niveau pendant le drainage.

Cependant, ils n'ont jamais déclenché de fonction de pause d'urgence. L'équipe a plutôt envoyé un message de prime on-chain à l'attaquant. Le voleur l'a ignoré, a transféré les fonds vers Ethereum et les a blanchis via Tornado Cash.

Extropy se demande si cela représente de la négligence ou quelque chose de pire. Le rapport souligne que les contrats non vérifiés servent de signaux d'alarme pour les utilisateurs.

Les clients de Ledger confrontés à des risques de sécurité physique

Le 5 janvier, Ledger a confirmé une violation de données affectant sa clientèle. La violation provenait du processeur de paiement Global-e, et non du matériel de Ledger.

Les noms des clients, adresses de livraison et informations de contact ont été compromis. Extropy avertit que cela crée ce que les experts en sécurité appellent des scénarios d'"attaque à la clé anglaise". Les attaquants possèdent désormais une liste de propriétaires de portefeuilles matériels crypto et leurs localisations.

Le rapport note une amère ironie. Ledger a déjà fait face à des critiques pour avoir facturé des fonctionnalités de sécurité. Maintenant, leur processeur de paiement a exposé les utilisateurs à un danger physique sans frais.

Extropy conseille aux utilisateurs de s'attendre à des tentatives d'hameçonnage sophistiquées. Les données volées permettent aux attaquants d'établir une fausse confiance par le biais de communications personnalisées.

Lecture connexe : Un récapitulatif des incidents de sécurité entourant les portefeuilles matériels Ledger

La campagne d'hameçonnage MetaMask draine 107 000 dollars

Le chercheur en sécurité ZachXBT a signalé une opération d'hameçonnage sophistiquée ciblant les utilisateurs de MetaMask. La campagne a drainé plus de 107 000 dollars de centaines de portefeuilles.

Les victimes ont reçu des e-mails professionnels affirmant une mise à niveau obligatoire en 2026. Les messages utilisaient des modèles marketing légitimes et présentaient un logo MetaMask modifié. Extropy décrit le design du renard avec "chapeau de fête" comme désarmant et festif.

L'arnaque évitait de demander des phrases de récupération. Au lieu de cela, elle incitait les utilisateurs à signer des approbations de contrat. Cela permettait aux attaquants de déplacer des jetons illimités des portefeuilles des victimes.

En maintenant les vols individuels sous 2 000 dollars, l'opération a évité les alertes majeures. Extropy souligne que les signatures peuvent être aussi dangereuses que les clés divulguées.

L'article Le chaos du Web3 frappe fort : des millions drainés en seulement deux semaines de 2026 – Rapport est apparu en premier sur Live Bitcoin News.