La plateforme de trading à effet de levier décentralisée Futureswap, basée sur Arbitrum, aurait perdu environ 395 000 $ suite à une faille de sécurité présumée, selon la société de sécurité blockchain BlockSec, prolongeant ainsi une série de pertes pour les DeFi basées sur Arbitrum jusqu’en 2026.
Cetdent est la dernière faille de sécurité affectant un protocole DeFi sur le réseau Arbitrum en 2026, alors que nous ne sommes qu'au dixième jour de l'année.
L'information a été révélée pour la première fois lorsque Phalcon, la plateforme de détection des menaces de BlockSec, a indiqué sur X avoir détecté des transactions suspectes ciblant le contrat de trac .
La société de sécurité a indiqué avoir tenté de contacter l'équipe, mais n'avoir reçu aucune réponse au moment de la publication. Pour rappel, le compte X du projet n'a rien publié depuis 2022.
Selon Phalcon, « l'attaquant semble avoir détourné des fonds via de multiples opérations changePosition, retirant finalement une grande quantité d'USDC. »
Il a également été ajouté : « Étant donné que letracn'est pas en open source, la cause exacte nécessite encore des investigations supplémentaires. »
ALERTE ! Notre système a détecté une transaction suspecte ciblant trac de @futureswapx sur #Arbitrum il y a quelques heures, entraînant une perte estimée à environ 395 000 $. Nous avons tenté de contacter l’équipe, mais n’avons reçu aucune réponse pour le moment.
L'attaquant semble avoir épuisé… pic.twitter.com/SD5CUCfA8h
— BlockSec Phalcon (@Phalcon_xyz) 10 janvier 2026
Comment Futureswap a-t-il été piraté ?
BlockSec a analysé le comportement sur la chaîne et a déclaré qu'il soupçonnait que « l'dent pourrait être lié à des changements inattendus dans la comptabilité de stableBalance lors de mises à jour de position antérieures, ce qui a permis par la suite la libération d'USDC lors du retrait de garanties. »
Quelques jours plus tôt, le 5 janvier, Cryptopolitan Deux projets Arbitrum ont subi des pertes de 1,5 million de dollars suite à des attaques par accès non autorisé à des contrats intelligents . trac Gambit et TLP, lancés par le même déployeur, ont été victimes de retraits non autorisés après qu'un attaquant a obtenu un accès administrateur et remplacé les contrats intelligents trac des versions malveillantes.
D'après la société de sécurité blockchain Cyvers Alert, une analyse préliminaire indique que l'utilisateur initial aurait perdu l'accès à son compte. « L'attaquant a alors déployé un nouveautracet mis à jour les privilèges ProxyAdmin pour prendre le contrôle », précise Cyvers Alert.
Les fonds volés ont ensuite été transférés sur le réseau Ethereum et déposés dans Tornado Cash.
Arbitrum est-il la cible de pirates informatiques ?
Le nom d'Arbitrum est revenu fréquemment dans les affaires de piratage DeFi recensées en 2026. Début janvier, TMX Tribe a subi une perte de 1,4 million de dollars, tandis que le coffre-fort USDC d'IPOR Fusion a perdu 336 000 dollars suite à une vulnérabilité d'un ancientrac, bien que la DAO se soit engagée à rembourser intégralement les utilisateurs.
Des chercheurs en sécurité ont constaté que les attaques récentes suivent un schéma similaire à celui attribué aux pirates informatiques nord-coréens, qui utilisent principalement Tornado Cash pour blanchir de l'argent. Les attaquants ont appris à agir rapidement pour échanger et mélanger les fonds volés presque immédiatement afin d'éviter le blocage des adresses.
Ces failles de sécurité ciblent généralement les écosystèmes à forte liquidité, car cela permet aux pirates d'optimiser leurs chances de réaliser des gains importants. Selon Defi llama, Arbitrum détient plus de 3 milliards de dollars répartis sur DeFi de sa plateforme et n'a jamais été loin de la première place parmi Ethereum en termes de TVL depuis son lancement en 2021.
Un autre point commun aux piratages récents est qu'ils ciblent généralement lestracintelligents plus anciens qui conservent encore des liquidités.
En juillet 2025, Cryptopolitan a annoncé avoir débloqué une enveloppe de 14 millions de dollars via le programme d'audit Arbitrum afin de soutenir les projets autochtones en subventionnant leurs audits de trac
Le butin issu des exploits est rapidement réacheminé via des mélangeurs
Le quatrième trimestre 2025 a été marqué par une forte hausse des dépôts sur Tornado Cash , la plateforme de mixage détenant désormais une valeur record bloquée par de nouveaux piratages et d'anciennes failles de sécurité. Elle contient plus de 338 000 ETH, soit plus que son pic de 2021. D'autres plateformes de mixage comme Railgun ont également connu une augmentation d'activité fin 2025.
D'après les analystes, les attaques ont principalement ciblé des projets relativement confidentiels. USD Gambit, par exemple, prévoit la fermeture progressive d'une plateforme d'échange dans les semaines à venir. Bien que lancé en 2023, ce projet n'a pas profité de la reprise de la finance décentralisée DeFi et du trading de contrats à terme perpétuels, ce qui en a fait une cible plus facile, avec un contrôle de sécurité moindre.
