- Zoth a perdu 8,4 millions de dollars lors d’un piratage dû à un portefeuille de déploiement compromis.
- Une fuite de privilèges d’administrateur est à l’origine de l’attaque.
- L’attaquant a échangé des USD0++ volés contre du DAI et de l’ETH, échappant ainsi au suivi.
Zoth, un protocole de re-staking d’actifs réels (RWA) conçu pour relier la finance traditionnelle à la technologie blockchain, a été victime d’une faille qui a drainé plus de 8,4 millions de dollars en cryptoactifs.
L’incident, signalé par Cyvers, une entreprise spécialisée dans la sécurité blockchain, peu après midi, a provoqué une onde de choc dans l’écosystème, obligeant Zoth à interrompre ses activités et à placer son site web en mode maintenance, tandis que l’équipe s’efforçait de réagir.
La faille s’est développée avec une rapidité et une précision alarmantes, révélant des vulnérabilités dans l’infrastructure de Zoth. Selon Cyvers, le portefeuille de déploiement du protocole – l’épine dorsale administrative essentielle du système – a été compromis.
Environ 30 minutes avant la détection du piratage, un attaquant a mis à niveau le contrat proxy « USD0PPSubVaultUpgradeable » vers une version malveillante, déployée depuis une adresse suspecte.
Cette manœuvre rapide a permis au pirate de contourner les mesures de sécurité existantes, lui accordant un contrôle instantané sur les fonds des utilisateurs et permettant le retrait de 8,4 millions de dollars en jetons USD0++.
Dans les minutes qui ont suivi le vol, l’attaquant n’a pas perdu de temps pour brouiller les pistes. Les actifs volés ont été rapidement convertis en stablecoin DAI et transférés vers une adresse distincte, une opération destinée à masquer l’origine des fonds.
Plus tard, comme l’a rapporté la société d’analyse blockchain PeckShield, le pirate a échangé les actifs contre de l’Ethereum (ETH), évalué à environ 1 967 dollars l’unité à l’époque, compliquant encore davantage les efforts pour retrouver le butin.
Cette séquence sophistiquée de transactions a souligné la familiarité de l’attaquant avec les mécanismes DeFi et son intention d’échapper aux tentatives de récupération.
Zoth a reconnu le piratage
L’équipe de Zoth a rapidement reconnu la faille en publiant un avis de sécurité sur X à 3h02 PDT le 21 mars. Elle a confirmé l’incident et assuré les utilisateurs qu’elle enquêtait de toute urgence, en collaboration avec des partenaires pour en atténuer les conséquences.
La plateforme s’est engagée à publier un rapport complet une fois son enquête terminée, une promesse qui reflète son engagement en faveur de la transparence au milieu du chaos.
Security Notice
Our system has experienced a security breach. We’re actively investigating the incident and taking all necessary steps to resolve it as swiftly as possible.
We are working closely with our partners to mitigate the impact and fully resolve the issue. A detailed…
— ZOTH (@zothdotio) March 21, 2025
Pour un protocole qui avait levé 4 millions de dollars en août 2024 pour tokeniser des actifs sécurisés comme les bons du Trésor américain, le piratage a rappelé brutalement les risques qui guettent même les entreprises DeFi les plus prometteuses.
