Le contrat Fusion victime d'une attaque de hackers, 267 000 dollars transférés vers Tornado Cash, la sécurité DeFi sonne à nouveau l'alarme

Selon les dernières informations, CertiK Alert a détecté le 7 janvier une vulnérabilité de sécurité grave dans le contrat Fusion PlasmaVault. Lors d’une opération de retrait, un hacker a transféré la totalité des fonds (environ 267 000 USD) vers l’adresse EOA 0x9b1b via le contrat “fuse” configuré, puis a effectué un transfert cross-chain vers Ethereum et déposé dans Tornado Cash. Cet incident met à nouveau en lumière les risques de sécurité liés à la configuration des contrats dans les protocoles DeFi.

Détails de l’incident : de la configuration à la dissimulation, toute la chaîne

Analyse du processus d’attaque

L’élément central de cette attaque réside dans l’exploitation du décalage temporel :

• Le hacker a lancé l’appel de retrait quelques secondes après la configuration du contrat “fuse”
• En exploitant une faille logique lors de la phase de configuration, il a contourné le mécanisme normal de gestion des fonds
• Il a transféré la totalité des fonds en une seule fois vers une seule adresse EOA 0x9b1b
• Via un pont cross-chain, il a transféré les fonds vers Ethereum, puis les a déposés dans Tornado Cash

L’aspect clé de ce processus est la faille dans la fenêtre de configuration. Généralement, lors de l’initialisation ou de la configuration, les contrats DeFi présentent souvent un manque de contrôle d’accès, et le hacker a exploité cette fenêtre temporelle pour effectuer le transfert de fonds.

Pourquoi avoir choisi Tornado Cash

L’entrée des fonds dans Tornado Cash n’est pas un hasard, cela reflète une intention claire du hacker :

• Dissimulation de la provenance et de la destination des fonds : Tornado Cash brise la traçabilité des fonds sur la chaîne grâce à son mécanisme de mixage
• Évasion du gel des fonds : une fois dans le mixeur, il devient difficile de suivre ou de geler les fonds
• Préparation à une dissimulation à long terme : il ne s’agit pas d’une opération de cash-out rapide, mais d’une dissimulation prolongée

Ce choix indique une compréhension approfondie de l’écosystème DeFi et des outils de confidentialité.

Signaux de tendance en matière de sécurité

Ce n’est pas un incident isolé. Selon les dernières données de surveillance, les événements de sécurité dans la DeFi sont fréquents :

Les deux incidents révèlent le même problème : le contrôle d’accès lors de l’initialisation et de la configuration des contrats DeFi reste une faiblesse.

Pourquoi ces vulnérabilités persistent

• La pression pour lancer rapidement les projets, ce qui conduit à des vérifications de configuration insuffisantes
• Une considération inadéquate des conditions limites par l’équipe de développement
• Même après audit, il est difficile de couvrir tous les scénarios
• La précision dans l’exploitation des fenêtres temporelles par les hackers ne cesse de s’améliorer

Leçons pour les utilisateurs et les projets

Conseils pour les projets

• Mettre en place des mécanismes multi-signatures ou de verrouillage temporel lors de la configuration
• Prévoir une période de refroidissement après l’initialisation, plutôt qu’une disponibilité immédiate
• Gérer les permissions de manière hiérarchique, éviter qu’un seul contrat ne contrôle tous les fonds

Conseils pour les utilisateurs

• Faire preuve de prudence lors de la participation à de nouveaux projets, attendre une période d’observation
• Surveiller en temps réel les alertes de CertiK et autres organismes de sécurité
• Ne pas transférer de gros montants en une seule fois vers un seul contrat
• Vérifier régulièrement les autorisations de portefeuille et révoquer celles non nécessaires

Conclusion

La gravité de l’incident Fusion ne réside pas seulement dans la perte de 267 000 USD, mais aussi dans la révélation d’une faille systémique. Le hacker a exploité la fenêtre de configuration, effectué un transfert cross-chain, puis déposé dans un mixeur, illustrant que les attaques contre la DeFi ont désormais une approche mature.

Cela rappelle à tout l’écosystème que l’audit et la surveillance sont importants, mais ne suffisent pas. La véritable sécurité repose sur une conception réfléchie dès la phase de développement, et la vigilance des utilisateurs. Alors que la rentabilité de la DeFi attire, la gestion des risques doit toujours passer en premier.