Matcha Meta alerte après le piratage de SwapNet : jusqu’à 16,8 millions de dollars dérobés

La bourse crypto décentralisée (DEX) Matcha Meta a alerté dimanche sur un incident de sécurité chez le fournisseur de liquidité SwapNet. Une vulnérabilité dans un smart contract de SwapNet permettait potentiellement aux attaquants de déplacer des fonds d’utilisateurs ayant préalablement donné leur accord pour des transactions via le protocole. Matcha Meta souligne que le problème ne concerne pas sa propre infrastructure, mais bien celle de SwapNet.

Les utilisateurs ayant précédemment accordé des autorisations de token au contrat routeur de SwapNet sont invités à révoquer immédiatement ces autorisations. Selon Matcha Meta, cette révocation peut empêcher d’autres dommages.

Qu’est-ce qu’une autorisation de token et pourquoi est-elle importante ?

Dans de nombreuses applications crypto, un utilisateur doit d’abord donner son accord pour qu’un smart contract puisse transférer des tokens en son nom. Cela s’apparente à un prélèvement automatique : vous donnez à un système le droit d’effectuer des transactions sans devoir confirmer chaque étape. Si ce contrat présente une vulnérabilité, cette autorisation préalable peut être exploitée pour détourner des fonds.

Estimations des pertes : entre 13,3 et 16,8 millions de dollars

Il existe encore des incertitudes sur le montant exact. La société de sécurité blockchain CertiK a rapporté qu’environ 13,3 millions de dollars ont été volés. PeckShield estime les pertes plus élevées, évoquant au moins 16,8 millions de dollars sur le réseau Base. PeckShield a également indiqué que l’attaquant a échangé environ 10,5 millions de USDC contre environ 3 655 ETH, avant de commencer à transférer des fonds vers Ethereum.

CertiK a expliqué que l’attaque a été rendue possible par un ‘appel arbitraire’ dans le contrat SwapNet, permettant à un attaquant d’accéder à des fonds préalablement approuvés.

Vague de piratages de smart contracts : une tendance qui se poursuit

L’incident chez SwapNet survient peu après une autre grande faille dans le secteur crypto. Il y a deux semaines, une vulnérabilité dans le contrat intelligent du protocole de calcul hors ligne Truebit aurait conduit à une perte de 26 millions de dollars. Le token Truebit (TRU) aurait également fortement chuté par la suite.

Les vulnérabilités dans les smart contracts sont, selon les entreprises de sécurité, l’une des principales causes de pertes en crypto. Le rapport annuel de SlowMist indique qu’en 2025, les problèmes de smart contracts représentaient 30,5 % de toutes les attaques crypto, soit 56 incidents. Les compromissions de comptes et les piratages de comptes X se classent en deuxième position avec 24 %.

L’IA change la donne pour les attaquants et les chercheurs

Les chercheurs en sécurité soulignent que l’intelligence artificielle est de plus en plus utilisée pour détecter plus rapidement les failles dans le code. En décembre, des agents d’IA générative disponibles dans le commerce auraient identifié des vulnérabilités responsables de 4,6 millions de dollars de potentielles exploits de smart contracts dans les protocoles existants.

Que peuvent faire les utilisateurs maintenant ?

Matcha Meta conseille aux utilisateurs ayant donné des autorisations de token à SwapNet de les révoquer dès que possible. Dans ce type de situation, le risque peut persister tant que l’autorisation reste active.