- Une faille dans un pont inter-chaînes a permis à un attaquant de créer 5 milliards de SYS, soit plus de cinq fois l'offre en circulation, mais les jetons ont ensuite été restitués et détruits.
- Syscoin a évité une crise potentielle de 9 millions de dollars après avoir récupéré avec succès des milliards de jetons créés frauduleusement grâce à un bug d'analyse des transactions.
- Le projet a corrigé la vulnérabilité du pont qui permettait l'exploitation, mais les transferts inter-chaînes restent suspendus le temps que des validations supplémentaires soient effectuées.
L'équipe de Syscoin a récupéré et détruit 5 milliards de jetons SYS qu'un attaquant avait créés grâce à une faille dans le pont inter-chaînes du projet.
Syscoin a dû brûler les jetons émis pour rétablir son offre à ses niveaux d'avant l'exploit ; cependant, son pont reste hors ligne.
Comment cette faille a-t-elle eu lieu ?
L' équipe de Syscoin a déclaré avoir détecté l'attaque le 7 juin. L'attaque ciblait une faille dans la manière dont deux couches de l'infrastructure de Syscoin interprétaient les mêmes données de transaction.
Syscoin utilise une architecture à double chaîne composée d'une chaîne UTXO basée sur Bitcoinet d'une couche detracintelligent compatible avec Ethereumappelée NEVM. Les deux chaînes sont connectées par un pont qui vérifie les preuves de transaction avant de transférer des jetons entre elles.
Le projet a confirmé dans un rapport technique a posteriori publié le 15 juin que l'attaquant avait conçu une transaction contenant deux engagements d'actifs qui pointaient tous deux vers la même sortie.
L'un des engagements faisait référence au système natif, tandis que l'autre faisait référence à un jeton de test personnalisé créé par l'attaquant.
Syscoin Core et le relais NEVM ont interprété différemment la charge utile ambiguë. Core a traité la transaction comme impliquant le jeton personnalisé.
Le relais l'a lu comme un système natif et a ordonné autracdu coffre-fort de libérer 5 milliards de jetons.
L'attaquant avait d'abord testé son approche avec une transaction de test plus modeste utilisant un jeton personnalisé différent, selon le rapport d'analyse. L'attaque principale a ensuite été menée avec un second actif personnalisé.
Comment l'équipe de Syscoin a-t-elle pu récupérer les fonds détournés ?
Après tracles fonds détournés à travers les adresses UTXO, l' équipe Syscoin a contacté l'attaquant sur la blockchain avec une adresse de récupération et un avertissement selon lequel des mesures d'escalade et des poursuites judiciaires seraient engagées si les jetons n'étaient pas restitués.
L'attaquant a renvoyé l'intégralité des 5 milliards de SYS, selon les enregistrements sur la chaîne mentionnés dans le rapport d'analyse post-mortem.
L'équipe a ensuite détruit les jetons. La transaction de destruction est visible publiquement sur l'explorateur de blocs de Syscoin.
Le 10 juin, Syscoin a publié sur X qu'elle avait informé les plateformes d'échange qu'elles pouvaient rouvrir en toute sécurité les dépôts et les retraits de SYS.
Quel est le contexte du marché ?
Les 5 milliards de jetons émis ont dépassé de plus de 5 fois l'offre en circulation légitime de Syscoin, qui est d'environ 891 millions de SYS, selon les données de CoinMarketCap.
Ces jetons nouvellement créés valaient environ 9 millions de dollars au moment de l'incident.
Le token SYS a connu des difficultés durant la majeure partie de l'année 2026. Sur CoinMarketCap, il s'échange à environ 0,0026 $ pour une capitalisation boursière de 2,3 millions de dollars. Son cours a chuté de plus de 48 % au cours des 30 derniers jours et de plus de 91 % sur l'année écoulée.
DeFiLlama montrent que la valeur totale bloquée (TVL) de Syscoin dans DeFi était tombée à pratiquement zéro, avec seulement 14 adresses actives et 73 transactions enregistrées sur une période de 24 heures avant l'dent.
Qu'est-ce que l'équipe Syscoin a corrigé ?
Selon l'équipe Syscoin, chaque preuve de destruction de pont doit correspondre à unedentd'actif unique, et Core et le relais doivent s'accorder sur cettedent.
Le relais rejette désormais toute transaction de destruction d'actifs lorsque les engagements d'actifs sont dupliqués, ambigus ou susceptibles d'être résolus de manière incohérente entre les couches. Des mises à jour côté cœur sont également en cours afin de rejeter les affectations d'actifs dupliquées au niveau du consensus.
Le pont reste suspendu, l'équipe Syscoin ayant indiqué qu'il est toujours en attente de validation finale. Les dépôts de SYS natifs sur les plateformes d'échange ont repris, mais les transferts inter-chaînes via le pont sont bloqués jusqu'à ce que l'équipe ait finalisé la validation.
Les données de PeckShieldAlert ont montré que 14 failles majeures de sécurité au niveau des ponts et des chaînes de blocs avaient entraîné des pertes combinées de 340,7 millions de dollars au 1er juin 2026. Environ 28,62 millions de dollars ont été perdus dans des failles liées aux ponts au cours du seul mois de mai, ce qui représente la catégorie la plus importante en termes de montant ce mois-là.
Les plus grands experts en cryptomonnaies lisent déjà notre newsletter. Envie d'en faire partie ? Rejoignez-les !
FAQ
Qu'est-ce qui a provoqué l'exploitation de la faille du pont Syscoin ?
L'attaquant a conçu une transaction de destruction UTXO avec deux engagements d'actifs ciblant la même sortie, exploitant le fait que Syscoin Core et le relais NEVM interprétaient différemment la charge utile ambiguë, selon l'analyse technique post-mortem de Syscoin publiée le 15 juin 2026.
Les jetons SYS exploités ont-ils été récupérés ?
Oui. L'attaquant a restitué les 5 milliards de SYS à une adresse de récupération désignée après que l'équipe Syscoin a tracles fonds et établi un contact sur la blockchain. Les jetons ont ensuite été définitivement détruits via une transaction de destruction OP_RETURN visible sur l'explorateur de blocs de Syscoin.
Le pont Syscoin est-il de nouveau opérationnel ?
Non. D'après le bilan de Syscoin du 15 juin, le pont reste suspendu le temps que l'équipe finalise la vérification et la validation de sa correction. Les dépôts de SYS natifs sur les plateformes d'échange ont repris, mais les transferts inter-chaînes via le pont demeurent bloqués.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Hannah Collymore
Hannah est rédactrice et éditrice, forte d'une expérience de près de dix ans dans la rédaction de blogs et la couverture d'événements liés aux cryptomonnaies. Chez Cryptopolitan, elle contribue à la page d'actualités en rédigeant des articles et en analysant les dernières évolutions de la finance décentralisée DeFi, des comptes gérés par les utilisateurs (RWA), de la réglementation des cryptomonnaies, de l'intelligence artificielle (IA) et des technologies de pointe. Elle est diplômée en administration des affaires de l'université Arcadia.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)