Encore un protocole attaqué. Encore une faille dans un smart contract.
Cette fois, c’est Meta Pool, un service de liquid staking sur Ethereum, qui s’est fait piéger.
Le 16 juin, un acteur malveillant a profité d’une fonction mint() mal sécurisée pour générer des tokens sans le moindre dépôt. Montant estimé de l’attaque : environ 130 000 dollars.
Une porte grande ouverte
Le bug aurait pu être évité. Le contrat permettait à n’importe qui d’appeler la fonction mint() sans contrôle d’accès, sans validation des conditions, sans garde-fou. Résultat : création de tokens à partir de rien. Difficile de faire plus direct.
Une fois les jetons générés, l’attaquant les a transférés rapidement. Certaines adresses ont été identifiées, d’autres non.
Pour l’instant, aucune preuve formelle ne permet d’affirmer que les fonds ont été blanchis via Tornado Cash ou un autre mixeur. C’est une hypothèse plausible, mais rien de confirmé.
🚨TenArmor Security Alert🚨
Our system has detected a suspicious attack involving #MetaPool @meta_pool on #ETH, resulting in an approximately loss of $130.7K.
It appears that the MEV frontrunner Yoink frontran an attack. The mpETH pool seems to allow minting mpETH tokens… pic.twitter.com/SnDDPewTqa
— TenArmorAlert (@TenArmorAlert) June 17, 2025
Tornado Cash, l’ombre persistante
Il faut dire que malgré les sanctions américaines, Tornado Cash continue d’être utilisé dans les coulisses de la DeFi. Moins visible, moins bruyant, mais toujours actif.
L’outil, pourtant placé sur liste noire par l’OFAC en 2022, est encore présent dans de nombreux scénarios d’exfiltration.
Ce n’est pas le seul. D’autres solutions émergent, comme Railgun ou Aztec, misant sur des technologies de confidentialité plus sophistiquées. Mais Tornado reste une solution simple, connue, documentée.
Et surtout, difficile à bloquer sans casser les principes mêmes d’un réseau décentralisé.
Dans ce contexte, les attaquants ne se pressent plus pour couvrir leurs traces immédiatement. Certains attendent, d’autres fragmentent les fonds, ou utilisent des bridges vers des blockchains plus opaques.
Ce que l’on voit aujourd’hui, ce sont les premières couches d’un puzzle plus large.
😔💔 I’m Roman Storm. I poured my soul into Tornado Cash—software that’s non-custodial, trustless, permissionless, immutable, unstoppable. In 31 days, I face trial. The DOJ wants to bury DeFi, saying I should’ve controlled it, added KYC, never built it. SDNY is trying to crush…
— Roman Storm 🇺🇸 🌪️ (@rstormsf) June 13, 2025
L’audit, une illusion rassurante ?
Ce qui dérange, c’est que Meta Pool avait été audité. Un rapport publié en février, commandé à une firme spécialisée.
Mais ce genre d’audit est souvent une photographie figée d’un code en mouvement.
Entre-temps, des modifications peuvent être apportées, des fonctions ajoutées ou réécrites, sans forcément repasser par un contrôle externe.
On connaît la chanson. Plusieurs projets DeFi majeurs – Euler, Curve, Kyber – avaient, eux aussi, reçu l’onction d’un audit avant de subir des attaques. Ce n’est donc plus une exception, mais presque une norme.
Les erreurs humaines, les oublis dans la logique, les conditions mal définies : tout cela continue de faire des dégâts.
Le rythme du secteur n’aide pas
Dans le monde Ethereum, tout va trop vite. Les protocoles se lancent à une cadence folle, les innovations s’enchaînent, et le code est fréquemment poussé en production avant d’être totalement maîtrisé.
Beaucoup de développeurs réutilisent des morceaux de code sans en comprendre toutes les implications. D’autres innovent réellement, mais sacrifient la rigueur au profit de la vitesse.
L’environnement incite peu à la prudence. La promesse de rendements élevés, la pression communautaire, la compétition féroce : tout pousse à sortir vite, quitte à prendre des risques. Et quand les choses tournent mal, la chute est brutale.
La faute au système ?
La question revient souvent : comment sécuriser un écosystème bâti sur l’autonomie et l’expérimentation ? Des pistes existent. Certains misent sur la vérification formelle.
D’autres développent des assurances mutualisées ou lancent des bugs bounties plus généreux. Mais rien ne protège vraiment contre l’erreur humaine ou la négligence.
Des outils basés sur l’intelligence artificielle commencent à apparaître, capables de repérer des failles dans des smart contracts avant leur déploiement. Intéressant, mais pas encore déterminant. Le facteur humain reste au cœur du problème.
Personne ne viendra vous rembourser
Dans cette affaire, comme dans tant d’autres, il faut rappeler une chose : la DeFi ne propose pas de service après-vente.
Il n’y a pas de médiateur, pas d’assurance automatique, pas de filet. Si vous perdez vos fonds, personne ne vous les rendra.
L’attaque de Meta Pool n’est ni la première, ni la dernière. Mais elle illustre bien ce que devient la DeFi en 2025 : un espace toujours aussi prometteur, mais fatigué, fracturé, où la confiance s’use plus vite que le code.
Sur le même sujet :
- Le marché des altcoins va certainement exploser prochainement, voici pourquoi
- Record crypto : 13,2 milliards en 2025, les tensions n’arrêtent rien
- ETF Bitcoin + Ethereum : Trump passe à l’attaque avec Crypto.com
Pourquoi vous pouvez faire confiance à 99Bitcoins
Fondée en 2013, les membres de l’équipe de 99Bitcoin sont des experts en cryptographie depuis les débuts de Bitcoin.
Recherche hebdomadaire
100k+Les lecteurs mensuels
Contributeurs experts
2000+Projets de crypto-monnaie examinés
