TAC déclare qu'une faille de sécurité de 2,8 millions de dollars est undent éthique après que le pirate a remboursé le butin

TAC, un protocole inter-chaînes qui se présente comme un pont entre TON et Ethereum, a requalifié son exploit de 2,8 millions de dollars du 12 mai en un événement de type « white hat », après que le pirate a apparemment accepté l'offre de l'équipe de conserver 10 % des fonds « transférés » en échange du retour du reste sur ses portefeuilles multisignatures. 

D'après les informations communiquées par TAC concernant l'incident, l'exploitation de la faille visait la couche inter-chaînes du réseau TON, entraînant une fuite de fonds sur les cryptomonnaies USDT, BLUM et tsTON. TAC a précisé que la vulnérabilité était limitée aux Jettons natifs de TON connectés au réseau TON et que le token TAC lui-même, le TON et tous les tokens ERC-20 n'étaient pas affectés.

Le token TAC a subi une forte baisse depuis l'incident, son prix ayant chuté de plus de 21 % la semaine dernière. Sa capitalisation boursière est tombée à 79 millions de dollars, contre plus de 91 millions avant la révélation du piratage le 12 mai.

La valeur totale bloquée de TAC s'élevait à environ 2,74 millions de dollars au 14 mai, selon DefiLlama, ce qui signifie que l'exploitation de 2,8 millions de dollars équivalait approximativement à la TVL totale du protocole. 

Comment l'exploitation du protocole TAC a-t-elle eu lieu ?

Le 12 mai, TAC a révélé avoir été victime d'un piratage. Dans un message publié sur X , l'équipe a indiqué avoir suspendu le pont suite à des signalements de partenaires de sécurité. Elle s'est rapidement employée à rassurer la population en affirmant que le problème était limité et n'affectait qu'une partie des ressources connectées, et non l'infrastructure globale du protocole.

Quant à la manière dont les prochains jours seront gérés, l'équipe du protocole TAC a déclaré : « Notre priorité est de rembourser intégralement les utilisateurs et de rétablir complètement la liquidité du pont grâce à une vente légalement structurée des réserves de trésorerie des jetons TAC de la Fondation. » 

Le 14 mai, TAC avait une bonne nouvelle à annoncer. L'équipe a déclaré qu'après que l'auteur de la faille ait accepté sa proposition de restitution des fonds sur le portefeuille multisignature désigné sur Ethereum et à une adresse correspondante sur TON, elle avait décidé de ne pas engager de poursuites judiciaires, une décision prise en concertation avec ses partenaires de sécurité et les forces de l'ordre. 

Avec les remboursements, le piratage du protocole TAC est rapidement passé d'exploit àdentéthique, avec une prime de 10 % offerte comme incitation, ce qui représente environ 13 ETH + 300 ZEC.

Dans le Web3, il est courant de proposer aux pirates informatiques un pourcentage des fonds volés en échange de la restitution de la majeure partie du butin. Transit Finance a appliqué cette pratique en début de semaine après avoir perdu 1,88 million de dollars suite à la mise hors service d'untracintelligent TRON obsolète. L'équipe a envoyé un message sur la blockchain à l'attaquant, lui offrant un pourcentage des fonds volés à titre de prime à la découverte d'un bug en échange de sa coopération, avec un délai de réponse de 48 heures.

Les hackers mettent à rude épreuve les protocoles inter-chaînes

L'exploitation de la faille par TAC s'inscrit dans une série de vulnérabilités de ponts et d'interconnexions entre chaînes survenues début mai 2026. Transit Finance a attribué cette faille à un contrattracdepuis 2022, mais contenant encore du code exploitable. La société de sécurité GoPlus Security a signalé deux compromissions de clés privées le 12 mai, pour un montant total de 238 000 $, et la société de sécurité blockchain Blockaid adentproxy Diamond non initialisé d'Aurellion Labstracsur Arbitrum, selon Cryptopolitanun article de.

Ces pertes font suite à un mois d'avril difficile. CertiK a signalé des pertes d'environ 651 millions de dollars dues à des failles de sécurité dans le secteur ce mois-là, le montant le plus élevé depuis mars 2022, si l'on exclut l'incident Bybitdent février 2025. L'exploitation de la faille du pont KelpDAO (293 millions de dollars) et le piratage du protocole Drift (285 millions de dollars) ont représenté la majeure partie des dommages d'avril.

Lesdentindividuels de mai sont comparativement moins importants, mais leur fréquence suggère que les conditions sous-jacentes qui ont permis les pertes record d'avril n'ont pas été traitées.

Le pont du protocole TAC reste suspendu. L'équipe n'a pas communiqué de date de reprise des opérations, mais a indiqué qu'elle transférerait le solde restant, déduction faite de la prime pour les hackers éthiques, vers ses portefeuilles multisignatures.