Comment un hacker a dérobé plus de 2 millions de dollars à un contrat zombie fermé depuis 3 ans
Aztec Connect, une plateforme de confidentialité sur Ethereum mise hors service en 2023, vient d'être vidée de ses fonds par un attaquant qui a exploité une faille dans sa logique de vérification cryptographique.
Le dimanche 14 juin 2026, un hacker non identifié est parvenu à siphonner 2,19 millions de dollars des contrats intelligents d’Aztec Connect.
La particularité de cet incident : la plateforme visée est hors service depuis mars 2023. Aztec Connect était une fonctionnalité de confidentialité construite sur Ethereum, qui permettait aux utilisateurs d’interagir avec des services de finance décentralisée, tout en masquant le détail de leurs transactions.
Le protocole avait été officiellement fermé il y a trois ans, mais ses contrats continuaient de tourner sur la blockchain, et de détenir des fonds réels.
Une faille dans la mécanique de vérification
Les contrats intelligents d’Aztec Connect reposaient sur un système de preuves cryptographiques : pour retirer des fonds, un utilisateur devait soumettre une preuve mathématique démontrant la légitimité de l’opération.
Mais selon CertiK, la société de sécurité blockchain qui a détecté l’incident, le contrat central ne vérifiait qu’une partie des données soumises. La logique de validation contrôlait le début de la preuve, mais la partie du code chargée d’exécuter les transferts lisait ces mêmes données différemment. Ce décalage a permis à l’attaquant de soumettre des preuves manipulées pour créditer de la valeur sans dépôt correspondant, puis de retirer des fonds qui n’auraient jamais dû être accessibles.
Selon les détails rapportés par les analystes, l’opération a été menée en une seule transaction, ciblant sept actifs simultanément, et les fonds ont transité vers un portefeuille fraîchement créé.
Aztec Labs impuissant
Si Aztec Labs a confirmé l’incident, ses équipes ont immédiatement précisé qu’elles étaient dans l’incapacité totale d’intervenir. Lors de la fermeture du protocole, les développeurs avaient volontairement renoncé à leurs clés d’administration pour éviter tout point de contrôle centralisé, une décision cohérente pour un outil de confidentialité, mais aux conséquences irréversibles : les contrats sont devenus immuables. Impossible de les mettre en pause, de les corriger ou de les mettre à jour.
La Fondation Aztec, qui chapeaute le réseau Aztec actuel encore en activité, a tenu à préciser que la faille ne concerne pas ses projets existants.
Reste que, comme le soulignent plusieurs médias spécialisés, l’incident pointe un angle mort structurel de la finance décentralisée : un contrat intelligent déployé sur Ethereum ne disparaît pas quand un projet ferme. Il continue d’exister sur la blockchain, indéfiniment, avec les fonds que des utilisateurs y ont laissés. Si une faille y est découverte après coup, et que personne ne détient plus les clés pour intervenir, l’attaque est inévitable.
Ces systèmes orphelins, parfois appelés contrats zombies, peuvent rester exposés pendant des années. L’exploit sur Aztec Connect survient d’ailleurs quelques jours après une attaque similaire sur Raydium, sur le réseau Solana, qui avait coûté environ 1,3 million de dollars.
Tout le monde n'a pas les moyens de payer pour l'information. C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Source : Numerama — voir l'article d'origine ↗