Les analystes de SlowMist tirent la sonnette d'alarme concernant les vulnérabilités d'une plateforme d'échange dont le volume quotidien s'élève à 3,7 milliards de dollars.

La société de sécurité blockchain SlowMist a pointé dudentdeux plateformes d'échange de cryptomonnaies présentant de graves vulnérabilités affectant la sécurité des fonds sur leurs plateformes respectives. 

Le fondateur de SlowMist, qui utilise le pseudonyme Evilcos, a exprimé sa frustration face à l'absence de réponse. 

« Les plateformes d'échange inconnues sont vraiment peu fiables », a-t-il écrit sur X. « Notre équipe de sécurité a découvert de graves vulnérabilités dans deux plateformes d'échange (impactant directement la sécurité des fonds), mais nous n'avons pu joindre personne, et même les mentions publiques sont restées sans réponse. »

Les plateformes d'échange en question gèrent des volumes de transactions quotidiens importants, l'une ayant un volume de transactions sur 24 heures de 3,7 milliards de dollars, tandis que l'autre gère environ 240 millions de dollars, selon Evilcos.

Les tentatives de divulgation ont été rejetées.

SlowMist a émis des alertes de sécurité à l'encontre d'Azbit , société enregistrée aux Seychelles, et d' ICRYPEX Global, plateforme d'échange turque , les 16 et 17 décembre respectivement. La société affirme également avoir tenté de contacter les deux plateformes par messages privés et publications publiques, conformément aux pratiques habituelles de divulgation responsable, mais n'a reçu aucune réponse.

ICRYPEX, société créée en 2018 et détenant des licences de fournisseur de services d'actifs virtuels dans deux pays de l'Union européenne, affirme servir des millions d'utilisateurs dans plus de 30 pays.

Azbit a été lancée fin 2019 et opère aux Seychelles ; cependant, plus tôt cette année, l' autorité de régulation des Seychelles a déclaré que « la société n'est pas, et n'a jamais été, autorisée à opérer en vertu de la loi de 2024 sur les fournisseurs de services d'actifs virtuels, et est simplement une société commerciale internationale (« IBC ») constituée en vertu de la loi sur les IBC ».

L'impossibilité d'établir un contact a incité SlowMist à prendre la mesure inhabituelle de divulguer publiquement les vulnérabilités découvertes avant leur résolution, ce qui est quelque peu inquiétant, même si l'on peut supposer que les plateformes d'échange concernées travaillent déjà à leur résolution. 

Toutefois, une prise de parole publique ou une reconnaissance des conclusions de SlowMist contribuerait grandement à rassurer leurs clients.

Préoccupations de sécurité à l'échelle de l'industrie

Cetdent survient dans un contexte de défis de sécurité persistants au sein du secteur des cryptomonnaies. Le rapport annuel de sécurité 2024 de SlowMist a recensé 410dentde sécurité ayant entraîné des pertes de plus de 2,013 milliards de dollars.

La société de cybersécurité CertiK a révélé que les plateformes d'échange de cryptomonnaies ont perdu plus de 29 millions de dollars en novembre 2025, se classant deuxièmes sur la liste des pertes par type après la finance décentralisée (DeFi).

Les bonnes pratiques recommandent aux développeurs de cryptomonnaies d'établir des points de contact pour signaler les problèmes de sécurité, notamment des clés publiques à long terme pour une communication sécurisée.

Les plateformes d'échange vont-elles prendre contact ?

L'expérience de SlowMist, qui a tenté de contacter ses partenaires sans obtenir de réponse, bien que non unique, montre que même les plateformes d'échange établies disposant d'une base d'utilisateurs considérable peuvent manquer de canaux adéquats pour recevoir des informations de sécurité critiques.

Cela soulève également des questions quant à la capacité des plateformes d'échange de cryptomonnaies à réagir rapidement aux révélations de vulnérabilités.

SlowMist a collaboré avec des plateformes d'échange majeures, notamment Binance, OKX, HTX et Crypto.com, ce qui confère une crédibilité à ses évaluations de sécurité et lui permet de combler les failles qu'elles identifient.

Le mois dernier, Cryptopolitan a rapporté que la société SlowMist avait mené une enquête qui a mis au jour des vulnérabilités dans NOFX AI, un système de trading de contrats à terme sur cryptomonnaies open source construit sur l'architecture de modèle de langage étendu de DeepSeek et Qwen, et a également partagé des recommandations sur la façon dont le problème pourrait être résolu. 

Les directives du secteur en matière de divulgation responsable recommandent généralement aux parties concernées de répondre dans les deux jours ouvrables suivant le premier contact. En l'absence de réponse après plusieurs tentatives, les chercheurs en sécurité procèdent souvent à une divulgation publique de l'affaire afin de garantir la transparence, notamment lorsque des fonds sont en jeu.

Au moment de la publication de cet article, ni ICRYPEX ni Azbit n'avaient répondu aux avis de sécurité ni fait de déclarations publiques concernant les vulnérabilités.