Saga a été le dernier projet en date à être la cible d'un piratage DeFi en janvier. La plateforme a perdu plusieurs jetons, dont 6 millions de dollars en ETH.
La machine virtuelle Saga EVM a été exploitée, entraînant la perte d'au moins 2 000 ETH, soit environ 6 millions de dollars, et l'arrêt du réseau. Cette faille figure parmi les attaques majeures émergentes contre DeFi, qui se sont accélérées en 2025 et se sont poursuivies au cours de l'année suivante.
L'exploit provenait de l'infrastructure même de Saga et non des plateformes d'échange Oku ou Uniswap, qui hébergent certains actifs de Saga, selon les informations disponibles.
Nous sommes au courant de l'dent sur Saga et nous le surveillons de près.
Les premières constatations indiquent que le problème provient de l'infrastructure centrale de Saga, et non d'Oku ou destracUniswap.
La machine virtuelle Saga est actuellement à l'arrêt et aucune action n'est requise de la part des utilisateurs jusqu'à sa reprise. https://t.co/VEmq6WmEC7
– D’accord 🐼 (@okutrade) 21 janvier 2026
L'attaque Saga a consisté en la création non autorisée de jetons Saga Dollar (D). L'attaquant a transféré ces jetons vers Ethereum, a réussi à acheter plus de 2 000 ETH et a échangé le reste de ses stablecoins via Uniswap V4.
Les pertes totales sont estimées à 6,8 millions de dollars, car de nouveaux stablecoins D ont été émis sans aucune garantie réelle.
Saga suspend son protocole pour enquête
Saga a subi des pertes bien plus importantes que la simple perte directe : la valeur totale de son protocole (TVL) a chuté de plus de 36 millions de dollars à 21 millions de dollars. Immédiatement après l’exploitation de la faille, Saga a suspendu toutes ses activités afin d’enquêter sur la vulnérabilité.
SagaEVM a été mis en pause au niveau du bloc 6593800 en réponse à une exploitation confirmée de la chaîne SagaEVM.
Des mesures d'atténuation sont en cours et l'équipe est pleinement concentrée sur la recherche d'une solution.
D'autres informations suivront une fois les détails confirmés.
— Saga ⛋ (@Sagaxyz__) 21 janvier 2026
La création non autorisée de jetons est une faille de sécurité courante, probablement due à un bug dans untracintelligent. Cetrac, conçu pour transférer des actifs entre Saga et Ethereum, permet au pirate de retirer plus que le solde disponible en stablecoins.
Les ETH obtenus grâce à cette faille sont toujours détenus à une seule adresse et n'ont été ni déplacés ni mélangés. L'auteur de l'exploitation détient toujours un solde de stablecoin D de plus de 12 millions de dollars, ainsi que de plus petites quantités de jetons.
Le blocage du protocole Saga signifie que l'attaquant ne peut plus échanger de stablecoins D sur la blockchain native. Cependant, le protocole et la blockchain sont actuellement gelés et il faudra peut-être un certain temps avant que leur valeur immobilisée dans les applications et la part de marché DeFi de la plateforme ne soient rétablies.
Saga Dollar se désengage après l'exploit
Suite à cette faille de sécurité, le stablecoin D, relativement peu liquide, s'est désindexé et a chuté à des niveaux historiquement bas. Son cours s'est effondré à 0,75 $, portant un coup dur à la stabilité et à la réputation du projet.
Le token D a été lancé début décembre 2025, portant son offre à plus de 6 millions de tokens. Cet actif était exclusivement négocié sur la plateforme interne Oku Trade de Saga.
Saga possède également une version native d'Uniswap, ce qui a permis au pirate de cash une partie des stablecoins. Suite à cette faille, la version Saga d'Uniswap a perdu la majeure partie de sa valeur bloquée.
D est le seul stablecoin sur Saga, sans aucun autre actif lié. Ce réseau, relativement récent, a subi une faille de sécurité alors que son secteur DeFi était encore en pleine expansion.
Les jetons SAGA, qui se négociaient déjà près de leur plus bas historique, ont chuté à 0,053 $ après l'annonce de la faille de sécurité. Leur valeur est en baisse constante depuis leur lancement en mai 2024.
