PeckShield signale une activité suspecte liée au jeton Shib

La société de sécurité blockchain PeckShield a détecté une activité suspecte sur Shibarium vendredi soir. Ses experts ont découvert des clés de validation divulguées sur Shibaswap, ce qui a entraîné une perte estimée à 2,8 millions de dollars via Shib .

L'équipe Shiba Inu a publié un message sur X vers 21h00 UTC, indiquant qu'elle « était au courant de l'activité signalée par PeckShield » et qu'elle avait contacté à la fois ses développeurs internes et ses partenaires de sécurité externes pour enquêter sur l'exploitation.

« Nous nous efforçons actuellement de confirmer la cause profonde et de mettre en œuvre toutes les mesures d’atténuation possibles. Un rapport complet présentant les conclusions et les prochaines étapes sera publié une fois l’enquête terminée », a écrit l’équipe Shiba Inu.

10 transactions malveillantes approuvées par le validateur SHIB sur 12

L'auditeur Web2 et Web3 Tikkala Security a confirmé qu'un attaquant a piraté le système de jetons de Shiba Inu en soumettant des requêtes de sortie Merkle valides, signées par plusieurs validateurs. L'adresse du portefeuille de l'attaquant a effectué des retraits de fonds à plusieurs reprises en contournant les protections destinées à sécuriser le gestionnaire de la chaîne racine.

Selon les données d'Etherscan, cette adresse détient désormais plus de 700 000 $ en jetons ERC-20.

« Il semblerait que le piratage ait compromis 10 des 12 clés de signature des validateurs ShibArium, ce qui a permis l'approbation d'un système racine malveillant », a expliqué Tikkala, en fournissant des images de l'incident. Seuls les validateurs de K9 Finance et d'UnificationUND ont confirmé avoir renoncé à signer la transaction malveillante.

L'attaque a été initiée via un point de contrôle compromis, où une racine Merkle d'apparence légitime a été insérée. Les données blockchain d'Etherscan montrent qu'une fois la racine malveillante ajoutée, l'attaquant a dérobé un million de dollars supplémentaires grâce à une transaction importante ultérieure. 

3/ Shibaswaptrac) (https://t.co/Qgshvoiwbt . Une attaque pourrait permettre d'ajouter un hachage racine de point de contrôle « légitime » avec les signatures de 10 signataires. pic.twitter.com/SvGYxuOyx3

– Tikkala Sécurité (@TikkalaResearch) 12 septembre 2025

Les enquêteurs ont également découvert que l'attaquant avait utilisé un prêt éclair auprès de Shibaswap pour emprunter 4,6 millions de jetons BONE. Initialement perçue par certains comme un achat important de jetons BONE d'une valeur d'un million de dollars, cette opération faisait en réalité partie de l'exploitation de la faille. Après avoir acquis temporairement les jetons, l'attaquant a obtenu la majorité des votes parmi les validateurs de Shibarium, ce qui lui a permis d'approuver un état malveillant sur le réseau.

Lors de cette même transaction, l'attaquant a remboursé le prêt éclair en liquidant les actifs dérobés sur le pont. Il a vendu des Shiba Inu et de l'Ether obtenus lors de l'exploitation de la faille pour couvrir les fonds empruntés, et a ainsi détourné 224,57 Ether et environ 92,6 milliards Shiba Inu. Sur ce montant, 216 Ether ont servi à rembourser le prêt éclair, le reste constituant un profit.

Letracdu gestionnaire de la chaîne racine Shibaswap, qui vérifie les retraits par rapport aux hachages Merkle racine stockés, donne à l'attaquant la latitude de manipulerdefiles demandes de retrait, et les pertes pourraient continuer si l'équipe Shibarium n'agit pas rapidement.

Tous les problèmes pointaient vers la gouvernance

Les détracteurs de X affirment que Shiba Inu souffre d'une « fausse décentralisation », car d'autres protocoles ont été confrontés aux mêmes problèmes de domination des validateurs sans pour autant perdre de fonds.

« Les développeurs de Qom ont également constaté ce problème sur QL1. Quelqu'un a tenté de saboter le réseau en contrôlant 60 % des validateurs. Mais les développeurs de QL1 ont rapidement neutralisé l'intrus. Les développeurs de Shiba Inu et Shibarium n'ont pas réussi à faire de même », a supposé un observateur.

Malgré la faille de sécurité, le jeton de Shiba Inu s'échangeait à 0,00001416 $ au moment de la publication de cet article, en hausse de 0,50 % au cours de la dernière heure et de 5,25 % au cours des dernières 24 heures.

La capitalisation boursière du token a progressé de 5,24 %, atteignant 8,26 milliards de dollars. Selon Cryptopolitande septembre, Shibcrucial test au niveau de sa moyenne mobile exponentielle à 200 jours, située à 0,0000138 $. Une percée décisive pourrait propulser les prix vers la zone des 0,000020 $ à 0,000024 $, tandis qu'un échec à ce niveau entraînerait une poursuite de la consolidation et une baisse des prix.