Quelqu'un vient de vider des portefeuilles Ethereum dormants depuis longtemps oubliés, et la cause pourrait remonter à plusieurs années
Des centaines de portefeuilles Ethereum restés intacts pendant des années ont été vidés vers la même adresse taguée, transformant une ancienne exposition de clés en l'avertissement de sécurité crypto le plus marquant de la semaine.
Le 30 avr., WazzCrypto a signalé l'incident affectant des portefeuilles mainnet sur X, et leur avertissement s'est rapidement répandu car les comptes concernés ne semblaient pas être de nouveaux portefeuilles chauds appâtés. Il s'agissait d'anciens portefeuilles à l'historique discret, certains liés à des actifs et des outils d'une ère Ethereum antérieure.
Plus de 260 ETH, soit environ 600 000 $, ont été drainés de centaines de portefeuilles dormants. Plus de 500 portefeuilles semblent être affectés, avec des pertes totalisant environ 800 000 $, et de nombreux portefeuilles sont restés inactifs pendant quatre à huit ans. L'adresse Etherscan associée est étiquetée Fake_Phishing2831105, affiche 596 transactions et enregistre un mouvement de 324,741 ETH vers THORChain Router v4.1.1 autour du 30 avr.
La constante qui les relie est pour l'instant plus importante : des portefeuilles longtemps inactifs ont été vidés vers une destination commune, tandis que le vecteur de compromission reste non résolu.
Ce vecteur non résolu fait de ce drain l'avertissement le plus fort de la semaine, à la suite d'une recrudescence des piratages DeFi. Les exploits de protocoles donnent généralement aux enquêteurs un contrat, un appel de fonction ou une transaction privilégiée à examiner.
Ici, la question centrale se situe au niveau des portefeuilles. Quelqu'un a-t-il obtenu d'anciennes seed phrases, cracké des clés faiblement générées, utilisé du matériel de clé privée divulgué, abusé d'un outil qui gérait autrefois des clés, ou exploité un autre vecteur qui n'a pas encore été découvert ?
Les discussions publiques ont produit des théories incluant une faible entropie dans les anciens outils de portefeuille, des mnémoniques compromis, la gestion des clés par des bots de trading et le stockage de seed phrases à l'ère LastPass. Un utilisateur affecté a personnellement évoqué la théorie LastPass.
Les conseils pratiques pour les utilisateurs sont limités mais urgents. L'inactivité ne réduit pas le risque lié à la clé privée. Un portefeuille de valeur dépend de l'historique complet de la clé, de la seed phrase, de l'appareil qui l'a générée, du logiciel qui l'a manipulée et de chaque endroit où ce secret a pu être stocké.
Pour les utilisateurs, la réponse consiste probablement à inventorier les anciens portefeuilles de valeur, à déplacer les fonds uniquement après avoir configuré un nouveau matériel de clé via un matériel de confiance ou un logiciel de portefeuille moderne, et à éviter d'entrer d'anciennes seed phrases dans des vérificateurs, des scripts ou des outils de récupération inconnus. La révocation des approbations aide pour l'exposition aux protocoles, y compris l'avertissement aux utilisateurs de Wasabi, mais un drain direct de portefeuille pointe d'abord vers la sécurité des clés plutôt que vers les approbations de tokens.
Avril a élargi la surface de contrôle
L'ensemble de portefeuilles s'est manifesté au milieu du bilan des exploits crypto d'avril, qui était déjà élevé. Les rapports liés à DefiLlama ont situé avril à environ 28 à 30 incidents et plus de 625 millions $ de fonds volés. Au 1er mai, l'API DefiLlama en direct affichait 28 incidents en avril totalisant 635 241 950 $.
Un fil de marché du 1er mai a capturé le point de pression : les drains de portefeuilles de cette semaine, l'exploit de clé admin du protocole Wasabi et les pertes DeFi plus importantes d'avril ont tous touché des surfaces de contrôle que les utilisateurs ordinaires inspectent rarement. Le lien à travers le mois est architectural plutôt qu'attributionnel.
Les chemins d'administration sont devenus des chemins d'attaque
Wasabi Protocol fournit l'exemple de protocole récent le plus clair. L'exploit du 30 avr. aurait drainé environ 4,5 à 5,5 millions $ après qu'un attaquant a obtenu l'autorité de déployeur/admin, accordé le rôle ADMIN_ROLE à des contrats contrôlés par l'attaquant, et utilisé des mises à niveau proxy UUPS pour vider des coffres et des pools sur Ethereum, Base et Blast. Les premières alertes de sécurité ont signalé le schéma d'admin-upgrade au fur et à mesure que l'attaque se déroulait.
Les mécanismes rapportés placent la gestion des clés au centre de l'incident. La mise à niveau peut être une infrastructure de maintenance normale. Une autorité de mise à niveau concentrée transforme ce chemin de maintenance en cible de grande valeur. Si un seul déployeur ou compte privilégié peut modifier la logique d'implémentation sur plusieurs chaînes, la frontière autour d'un contrat audité peut disparaître une fois cette autorité compromise.
C'est le problème côté utilisateur caché dans de nombreuses interfaces DeFi. Un protocole peut présenter des contrats ouverts, des interfaces publiques et un discours de décentralisation tandis que le pouvoir de mise à niveau critique réside toujours dans un petit ensemble de clés opérationnelles.
Les signataires et les vérificateurs ont subi les pertes les plus importantes
Drift a poussé le même problème de contrôle dans le flux de travail des signataires. Chainalysis a décrit l'ingénierie sociale, les transactions à nonce durable, les fausses garanties, la manipulation d'oracle et une migration du Conseil de sécurité 2-sur-5 sans timelock. Blockaid a estimé la perte à environ 285 millions $ et a soutenu que la simulation de transactions et des politiques de co-signature plus strictes auraient pu changer l'issue.
Le cas Drift est important ici car le vecteur ne dépendait pas d'un simple bug de fonction publique. Il dépendait d'un flux de travail où des signatures valides et une machinerie de gouvernance rapide pouvaient être orientées vers une migration hostile. Un processus de signature est devenu la surface de contrôle.
KelpDAO a déplacé le test de résistance vers la vérification cross-chain. Le communiqué d'incident a décrit une configuration de bridge dans laquelle la route rsETH utilisait LayerZero Labs comme unique vérificateur DVN. Les examens forensiques ont décrit des nœuds RPC compromis et une pression DDoS alimentant de fausses données vers un chemin de vérification à point unique.
Le résultat, selon Chainalysis, était 116 500 rsETH, valant environ 292 millions $, libérés contre un burn inexistant. Le contrat de token pouvait rester intact tandis que le bridge acceptait une fausse prémisse. C'est pourquoi une défaillance du vérificateur peut devenir un problème de structure de marché une fois que l'actif bridgé se trouve dans des marchés de prêt et des pools de liquidité.
L'IA appartient à la discussion sur la vitesse
Je pense que le Project Glasswing mérite une mention spéciale ici pour le contexte, séparément de la causalité. Anthropic indique que Claude Mythos Preview a trouvé des milliers de vulnérabilités logicielles de haute sévérité et montre comment l'IA peut compresser la découverte de vulnérabilités. Cela élève le niveau pour les défenseurs, mais le bilan causal dans ces incidents crypto pointe vers les clés, les signataires, les pouvoirs admin, la vérification des bridges, les dépendances RPC et l'exposition non résolue des portefeuilles.
Les implications en matière de sécurité restent sérieuses. Une découverte plus rapide donne aux attaquants et aux défenseurs davantage de surfaces parallèles à traiter. Cela rend également les anciens raccourcis opérationnels plus coûteux car les secrets dormants, les clés privilégiées et les chemins à vérificateur unique peuvent être testés plus rapidement que les équipes ne peuvent les examiner manuellement.
La liste des corrections est opérationnelle
Les contrôles qui découlent d'avril se situent au-dessus et autour du code source.
| Incident | Point de contrôle caché | Mode de défaillance | Contrôle pratique |
|---|---|---|---|
| Portefeuilles Ethereum dormants | Ancien matériel de portefeuille | Fonds déplacés de portefeuilles longtemps inactifs vers une adresse taguée tandis que le vecteur reste non résolu | Nouvelle génération de clés pour les fonds dormants de valeur, migration prudente et aucune saisie de seed phrase dans des outils inconnus |
| Wasabi | Autorité admin et de mise à niveau | Les attributions de rôles privilégiés et les mises à niveau UUPS ont permis de vider les coffres et les pools | Rotation des clés, seuils plus solides, pouvoirs admin limités, timelocks et surveillance indépendante des actions de mise à niveau |
| Drift | Flux de travail des signataires du Conseil de sécurité | Les transactions à nonce durable pré-signées et la gouvernance sans délai ont permis une prise de contrôle admin rapide | Seuils plus élevés, fenêtres de délai, simulation de transactions et co-signature imposée par politique |
| KelpDAO | Chemin de vérification du bridge | L'empoisonnement RPC et une route DVN 1-sur-1 ont permis à un faux message cross-chain de passer | Vérification multi-DVN, surveillance des invariants cross-chain et vérifications indépendantes en dehors du même chemin de vérification |
Pour les protocoles, la priorité est de réduire ce qu'une seule autorité peut faire à la fois. Cela signifie des timelocks sur les opérations admin, des seuils de signature plus solides et plus stables, des files d'attente de transactions privilégiées surveillées, des limites explicites sur les changements de paramètres et des systèmes de co-signature qui simulent les effets des transactions avant que les humains ne les approuvent.
Pour les bridges, la priorité est la vérification indépendante et les vérifications d'invariants. Un message cross-chain doit être testé par rapport au fait économique qu'il prétend représenter. Si le rsETH quitte un côté, le système doit vérifier le changement d'état correspondant de l'autre côté avant que le côté destination ne libère de la valeur. Cette surveillance doit exister en dehors du même chemin qui signe le message.
Pour les utilisateurs, la liste des corrections est plus courte. Déplacez les anciens fonds de valeur vers de nouvelles clés via un processus en lequel vous faites déjà confiance. Séparez cette action du nettoyage des approbations spécifiques aux protocoles. Traitez chaque affirmation sur la cause principale du drain de portefeuille comme provisoire jusqu'à ce que le travail forensique identifie un outil commun, un chemin de stockage ou une source d'exposition.
Le prochain test
Avril a prouvé que la liste de contrôle de sécurité de l'utilisateur moyen est probablement incomplète. Les audits, les contrats publics et les interfaces décentralisées peuvent coexister avec une autorité admin concentrée, des procédures de signature faibles, une vérification de bridge fragile et d'anciens secrets de portefeuille.
Le prochain trimestre récompensera les preuves plutôt que le discours de décentralisation : des pouvoirs de mise à niveau contraints, des timelocks visibles, des chemins de vérificateurs indépendants, la simulation de transactions pour les actions privilégiées, des contrôles d'accès disciplinés et une rotation des clés documentée.
Les drains de portefeuilles dormants montrent la version inconfortable côté utilisateur du même problème. Un système peut paraître calme tandis qu'un ancien échec de contrôle attend en arrière-plan. La vague d'exploits d'avril a exposé cette couche au-dessus du code ; la prochaine phase montrera quelles équipes la traitent comme une sécurité fondamentale avant que les fonds ne bougent.
L'article Quelqu'un vient de vider des portefeuilles Ethereum dormants longtemps oubliés, et la cause pourrait remonter à des années est apparu en premier sur CryptoSlate.
Vous aimerez peut-être aussi
Prévisions pour la semaine à venir : Les données sur les Nonfarm Payrolls et les pourparlers de paix entre les États-Unis et l'Iran secouent le DXY alors qu'il atteint ses plus bas niveaux en deux semaines
L'action Spirit Airlines (FLYYQ) chute de 65 % alors que l'échec du plan de sauvetage déclenche une possible fermeture
