Les utilisateurs d'OpenEden risquent de perdre leurs actifs suite à une attaque DNS qui détourne les portails

OpenEden a fait la une des journaux aujourd'hui, 16 février, lorsque la plateforme de gestion d'actifs tokenisés bien établie a annoncé que des attaquants avaient compromis le système de noms de domaine (DNS) de son site web principal et de son portail utilisateur, créant une menace immédiate pour la sécurité des portefeuilles de toute personne tentant d'accéder à la plateforme via des navigateurs web classiques.

« Il semblerait que les serveurs DNS des domaines openeden.com et portal.openeden.com soient compromis. N’interagissez PAS avec eux », a publié l’entreprise sur son compteX. 

L'avertissement soulignait que même si « tous les actifs de réserve restent SAFU et peuvent être vérifiés via d'OpenEden Chainlink le flux de preuve de réserve», les utilisateurs qui visitent les domaines piratés peuvent perdre les actifs de leur portefeuille. 

L'équipe d'OpenEden a déclaré qu'elle enquêtait actuellement sur la faille de sécurité et a promis de fournir des mises à jour au fur et à mesure de l'évolution de la situation.

Un coup dur pour un acteur clé du secteur des cryptomonnaies

La faille de sécurité du DNS a suscité de vives inquiétudes, notamment compte tenu du rôle d'OpenEden en tant que dépositaire institutionnel majeur d'actifs tangibles tokenisés. Fondée en 2022, la société émet des bons du Trésor américain tokenisés via son token phare TBILL, qui offre aux investisseurs un accès direct à ces bons, adossés à des titres correspondants conservés sur des comptes ségrégués.

La plateforme est devenue un acteur clé du secteur des cryptomonnaies et le premier émetteur de RWA tokenisé à recevoir la note A des analystes financiers (A de Moody's et AA+ de S&P Global Ratings) pour son fonds du Trésor. 

Avec une telle empreinte industrielle (au service des investisseurs professionnels, des trésoreries de DAO et d'autres entreprises), la compromission du DNS crée un risque pour les utilisateurs DeFi , mais plus encore pour les acteurs majeurs du marché qui supposent que les plateformes de niveau institutionnel disposent d'une sécurité de niveau entreprise protégeant leurs points d'accès web.

Comment l'attaque DNS a-t-elle eu lieu ?

Les attaques par détournement DNS fonctionnent en compromettant le système d'adressage d'Internet. Le système de noms de domaine (DNS) fonctionne comme l'annuaire téléphonique d'Internet, traduisant les noms de domaine lisibles par l'humain, tels que « openeden.com », en adresses IP numériques que les ordinateurs utilisent pour acheminer le trafic. 

Ainsi, lorsque des attaquants détournent les enregistrements d'un domaine, ils peuvent rediriger les visiteurs vers des sites malveillants sans toucher à l'infrastructure de la plateforme d'origine.

Dans le cas d'OpenEden, les utilisateurs qui saisissaient « openeden.com » ou « portal.openeden.com » dans leur navigateur étaient redirigés vers des serveurs appartenant à des attaquants hébergeant de fausses versions de la plateforme originale. 

Ces faux sites reproduisent l'interface originale pixel par pixel, puis invitent les utilisateurs à connecter leurs portefeuilles. Une fois la connexion établie, le site malveillant peut demander des signatures de transaction qui apparaissent comme des interactions normales sur le site web, mais qui autorisent en réalité des transferts de jetons vers les portefeuilles des attaquants.

Heureusement, cet attaquant opèredentdestracintelligents et des systèmes de conservation des réserves d'OpenEden. Les jetons TBILL et USDO de la plateforme restent en sécurité dans leurs coffres respectifs, et tous les actifs de réserve qui les garantissent demeurent vérifiables grâce aux oracles de preuve de réserve de Chainlink. 

Cela signifie que l'attaque DNS ne crée un risque que pour les utilisateurs qui visitent les domaines piratés et interagissent avec l'interface d'hameçonnage, obligeant OpenEden à publier un avertissement à tous les utilisateurs leur demandant de cesser toute interaction avec leur site web.

Dernière vague d'attaques DNS ciblant les plateformes de cryptomonnaies

L'incident OpenEdendent dans une tendance inquiétante de détournements DNS ciblant les plateformes de cryptomonnaies. En novembre 2025, Aerodrome Finance (la plus grande plateforme d'échange décentralisée sur Coinbase) a été piratée ; des attaquantsont pris le contrôle de l'enregistrement du nom de domaine de la plateforme afin de rediriger le trafic vers un faux site. 

Lestracintelligents d'Aerodrome sont restés intacts, mais le site d'hameçonnage a réussi à tromper des utilisateurs non avertis en leur faisant signer des approbations de transactions qui ont vidé leurs portefeuilles d'ETH, d'USDC et de divers autres jetons.

Dans le même ordre d'idées, Curve Finance a subi un détournement DNS en mai 2025 lorsque des attaquants ont infiltré le registraire de domaine « iwantmyname » et modifié la délégation DNS pour le domaine « curve.fi ». 

Naturellement, les utilisateurs ont été redirigés vers d'autres sites, mais l'équipe de Curve a réagi en migrant vers un domaine alternatif sécurisé et en incitant les utilisateurs à accéder à la plateforme via des miroirs Ethereum Name Service (ENS) au lieu du DNS traditionnel.

Les attaques DNS fonctionnent particulièrement bien pour les plateformes de cryptomonnaies car les utilisateurs doivent fréquemment connecter leurs portefeuilles et signer des transactions, ce qui crée de nombreuses opportunités pour les sites d'hameçonnage. 

OpenEden n'a pas révélé comment les attaquants ont pris le contrôle de ses enregistrements DNS ni quel bureau d'enregistrement gère ses domaines, l'enquête étant toujours en cours. 

La plateforme n'a toutefois pas communiqué de calendrier quant au rétablissement d'un accès sécurisé à ses domaines. En attendant, les utilisateurs souhaitant vérifier leurs avoirs en réserve peuvent consulter directement la preuve de réserve Chainlink pour obtenir des informations en temps réel sur les actifs liés à OpenEden.