Les meilleures analyses crypto directement dans votre boîte mail.
Le compte deltatiger.eth de Goldfinch Finance a été piraté ; 330 000 $ ont été dérobés jusqu'à présent.
- L'utilisateur deltatiger.eth de Goldfinch Finance a perdu 330 000 $ dans une faille detracliée aux contrats intelligents sur Ethereum, les fonds transitant par Tornado Cash.
- L'attaque exploitait la fonction collectInterestRepayment(), permettant des retraits répétés d'USDC après avoir gonflé les prix des actions.
- Les piratages de plateformes DeFi restent fréquents, comme en témoigne le vol de yETH chez Yearn Finance, ce qui met en évidence les risques de sécurité persistants dans les protocoles décentralisés.
Un utilisateurdentde la plateforme DeFi Goldfinch Finance, basée sur Ethereum, a subi une faille de sécurité entraînant des pertes d'environ 330 000 $, selon la plateforme de sécurité blockchain PeckShield.
PeckShieldAlert a signalé mardi sur X que l'attaquant de l'utilisateur Goldfinch deltatiger.eth avait envoyé environ 118 ETH à Tornado Cash après avoir piraté un ancientracintelligent sur Ethereum.
Letraccompromis,dentcomme 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43, a permis à l'auteur de prendre le contrôle du portefeuille de deltatiger et de vider ses fonds.
#AlertePeckShield @goldfinch_fide @deltatigernz a été attaqué, ce qui a entraîné une perte d'environ 330 000 $.
Le pirate a déposé 118 $ETH des fonds volés dans #TornadoCash.
🚨Veuillez *révoquer* immédiatement les approbations relatives à ce contrattrac… pic.twitter.com/OOuv39YVU9
— PeckShieldAlert (@PeckShieldAlert) 2 décembre 2025
La vulnérabilité résidait dans la fonction collectInterestRepayment() dutrac, qui permet de transférer des USDC depuis n'importe quelle adresse autorisant le transfert. L'attaquant aurait déposé 1 000 USDC et retiré des fonds à plusieurs reprises après avoir artificiellement gonflé le cours de l'action.
PeckShield a averti les utilisateurs de « révoquer immédiatement toutes les approbations sur le contrattracafin d'empêcher le pirate de voler davantage de jetons, car il continuait d'utiliser le mixeur de cryptomonnaies Tornado Cash pour blanchir ceux volés.
Aucune mise à jour n'a été communiquée à ce jour par deltatiger et Goldfinch, et aucune des deux entités n'a indiqué si l'attaquant avait communiqué avec elles après l'exploitation de la faille, survenue vers 9h30 UTC ce matin.
La méthode de prêt décentralisée de Goldfinch Finance a été critiquée.
Goldfinch Finance est un protocole de finance décentralisée (DeFi) soutenu par des acteurs majeurs de l'industrie crypto, notamment a16z Crypto et Coinbase Ventures.
Contrairement à la plupart des plateformes de prêt crypto, Goldfinch n'exige pas de garantie de la part des emprunteurs. Ces derniers peuvent soumettre des demandes de prêt à des investisseurs et des auditeurs, qui les accordent si elles obtiennent un soutien suffisant. Les fournisseurs de liquidités, les investisseurs et les auditeurs perçoivent des intérêts, tandis que les emprunteurs accèdent aux capitaux sans fournir de garantie.
Le protocole a été lancé sur Ethereum en février 2021, avec l'octroi initial de prêts d'une valeur d'un million de dollars. La version 1.1 a été lancée un mois plus tard, en mars 2021, et Goldfinch a levé 11 millions de dollars auprès d'Andreessen Horowitz quelques mois plus tard. En octobre 2021, la plateforme s'est associée à Nexus Mutual, permettant aux fournisseurs de liquidités et aux investisseurs de souscrire une assurance-tracintelligent.
Selon le terminal de jetons de Coingecko, le protocole Goldfinch affiche une capitalisation boursière entièrement diluée de 30,5 millions de dollars, un volume d'échanges de jetons de 12,4 millions de dollars au cours des 30 derniers jours et des prêts actifs totalisant 91,3 millions de dollars.
En 2023, une société de financement de motos d'Afrique de l'Est nommée Tugende Kenya a fait défaut sur un prêt en cryptomonnaie de 5 millions de dollars après avoir prétendument accordé un prêt non autorisé à sa société mère basée en Ouganda, ce qui a violé les conditions du prêt.
Warbler Labs, la société mère de Goldfinch, a découvert que Tugende Kenya avait détourné près de 2 millions de dollars au profit de sa maison mère. La fraude a été révélée en décembre de la même année, mais les archives de l'entreprise montrent qu'elle a été signalée au forum de gouvernance de Goldfinch en février 2024.
Un autre défaut de paiement est survenu en 2024, impliquant la société de crédit privée singapourienne Lend East, qui a déclaré ne pouvoir rembourser qu'environ 4,25 millions de dollars sur un prêt de 10,15 millions de dollars contracté auprès du fonds Goldfinch. Ce montant était inférieur de 58 % à la valeur de remboursement prévue et représentait 7,7 % du total des prêts actifs de Goldfinch.
Le prêt Lend East, d'une durée de 25 mois et arrivant à échéance le 3 avril 2024, offrait un taux annuel effectif global (TAEG) de 17 % en USDC ou de 28 % en GFI (taux variable). Des membres de la communauté Discord ont affirmé que 750 000 $ empruntés auprès de Goldfinch avaient été utilisés pour rembourser d'autres emprunteurs, en violation du contrat de prêt initial.
En décembre, les protocoles DeFi subissent des pertes suite à des piratages.
Le piratage de Goldfinch survient à peine 24 heures après la faille de sécurité qui a touché le pool yETH de Yearn Finance, vidant la totalité de la réserve en une seule transaction. Selon Cryptopolitande un article, les attaquants ont généré une quantité quasi infinie de tokens yETH,tracCashCash CashCashCashCash CashCash.
yETH est un jeton indexé basé sur plusieurs versions d'ETH en staking liquide, connues sous le nom de produits dérivés de staking liquide Ethereum (LST). La faille a été signalée par l'utilisateur Togbe de X, qui a constaté des transactions importantes sur des LST, notamment sur Yearn, Rocket Pool, Origin et Dinero.
Yearn Finance a confirmé l'dent via son compte X officiel, mais a assuré aux utilisateurs que les coffres-forts V2 et V3 étaient sécurisés. Il s'agit de la deuxième attaque depuis 2021, date à laquelle la faille de sécurité du coffre-fort yDAI de Yearn avait entraîné une perte de 2,8 millions de dollars, et d'une autre, en décembre 2023, due à un script défectueux, qui avait anéanti 63 % des avoirs de la trésorerie.
La société CertiK, spécialisée dans la sécurité des blockchains, a indiqué dimanche que le secteur des cryptomonnaies avait subi des pertes estimées à 127 millions de dollars en novembre, suite à des piratages et des exploitations de failles de sécurité . Son rapport mensuel sur les menaces précise que les fonds réellement touchés ont dépassé 172 millions de dollars, même si environ 45 millions ont pu être récupérés par la suite.
Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustrondentdentdentdentdentdentdentdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
LES
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)