« Tornado Cashamélioré » : Foom.Cash risque une perte de près de 2,3 millions de dollars suite à une exploitation

Cash, un protocole de confidentialité basé sur Ethereumqui se positionnait comme une évolution du mixeur agréé Tornado Cash, aurait perdu environ 2,26 millions de dollars en jetons après qu'un attaquant a exploité une faille dans son système de vérification cryptographique, selon des alertes émises par plusieurs sociétés de sécurité blockchain.

L'attaque, qui a touché destracsur les réseaux Ethereum et Base, a drainé 24 283 773 519 600 jetons FOOM, l'actif natif de la plateforme, dans ce que les chercheurs en sécurité ont décrit comme une exploitation par imitation reproduisant une vulnérabilité quasidentciblée dans un protocole distinct quelques jours auparavant.

Une seule transaction sur le réseau Base a engendré des pertes d'environ 427 000 $ directement imputables à l'auteur de la fraude. Des transactions sur Ethereum totalisant environ 1,83 million de dollars semblent avoir fait partie d'une opération de sauvetage menée par des hackers éthiques. 

Comment cette faille a-t-elle eu lieu ?

BinanceLabs GoPlus Security, a signalé l'attaque, indiquant qu'une configuration incorrecte de la clé de vérification avait permis à l'attaquant de falsifier des preuves zkSNARK. Cela lui a permis de fabriquer des identifiants cryptographiquesdenttractractractractractractractractractractractractractractractrac.

La plateforme de sécurité blockchain Certik a écrit sur X: « La cause première pourrait être le paramètre delta2==gamma2 du vérificateur Groth16 à l'adresse 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Cela permet à l'attaquant de calculer le « pC » nécessaire pour différents « nullifierHash » alors que toutes les autres entrées sont identiques, et de collecter des jetons ZOOM de manière répétée. »

En bref, un protocole dont le marketing insistait sur la quasi-impossibilité de contourner ses protections cryptographiques a été mis à mal par une erreur de configuration.

Phalcon de BlockSec , qui a détecté en temps réel des transactions suspectes sur les deux réseaux, a indiqué que l'incidentdentdentdent dentdentdentdent dentdentCashCash CashCashCashCash CashCash , survenue quelques jours auparavant.

Il convient toutefois de mentionner que la violation de Veil Cash était d'une ampleur plus limitée, les pertes se limitant à un petit nombre d'ETH, soit 2,9 ETH selon les informations.

Qu'est-ce que Foom.Cash?

Foom.CashCash se positionne comme un « protocole de loterie privée basé sur ZKProof » qui combine l'anonymat de Zcash, qui fonctionne comme une chaîne de confidentialité autonome, l'accessibilité de l' Ethereumd' DeFi et un mécanisme de récompense aléatoire intégré. 

Il est présenté comme une évolution de Tornado Cash et une alternative à ZcashCashCash CashCashEthereum . Tornadoa été sanctionné par le Trésor américain en 2022, mais ce dernier a levé les sanctions imposées à la plateforme en mars 2025. . Tornadoa été sanctionné par le Trésor américain en 2022, mais ce dernier a levé les sanctions imposées à la plateforme en mars 2025. CashCash CashCash . Tornadoa été sanctionné par le Trésor américain en 2022, mais ce dernier a levé les sanctions imposées à la plateforme en mars 2025. . Tornadoa été sanctionné par le Trésor américain en 2022, mais ce dernier a levé les sanctions imposées à la plateforme en mars 2025. 

Selon la plateforme, elle traite plus de transactions quotidiennes que Tornado Cash, dispose de plus de huit millions de dollars de liquidités et génère des rendements annuels de 50 à 80 % pour les fournisseurs de liquidités.

La protection de la vie privée dans la finance décentralisée DeFi suscite un regain d'intérêt, comme en témoigne la forte hausse du prix Zcash ces derniers mois, et la volonté deCash de tirer profit de cette tendance en proposant une protection de la vie privée native au sein de l'infrastructure existante d' Ethereum.

La plateforme utilisait une variante spécifique appelée zkSNARKs, qui est l'un des ingrédients clés des garanties de confidentialité dans des protocoles bien établis tels que Zcash.

Que faitCash pour récupérer les fonds et corriger la faille de sécurité ?

Jusqu'à présent, la seule mention d'un recouvrement concerne la deuxième transaction d'environ 1,83 million de dollars, que les sociétés de sécurité indiquent avoir effectuée dans le cadre d'une opération de sauvetage éthique.

L'équipeCash n'a toutefois ni mentionné ni reconnu le piratage. Par conséquent, à l'heure actuelle, aucune information n'est disponible quant à l'ampleur de l'impact sur le protocole ni sur les mesures prises pour atténuer les futures attaques. 

Cette récupération éthique laisse supposer que l'équipe travaille peut-être en coulisses pour récupérer les fonds et résoudre les problèmes sous-jacents.