Incidents de sécurité

Message de Gate News, 22 avril — Volo Protocol, un opérateur de coffre de rendement sur Sui, a annoncé hier (21 avril) qu’il a commencé à geler les actifs volés à la suite d’une exploitation de 3,5 millions de dollars. Des pirates ont dérobé WBTC, XAUm et USDG aux Volo Vaults, marquant la dernière grande brèche majeure en matière de sécurité DeFi dans un mois historiquement sévère pour le secteur.

Message de Gate News, 22 avril — Une famille de Ploudalmézeau, une petite ville de Bretagne, en France, a été envahie le lundi par deux hommes armés et cagoulés (le 20 avril), selon des informations rapportées par The Block. Trois adultes ont été attachés pendant plus de trois heures et forcés de transférer environ 700 000 euros (soit environ 820 000 $) en crypto-monnaie vers des portefeuilles contrôlés par les assaillants. Les suspects ont pris la fuite en voiture ; le véhicule a ensuite été retrouvé par la police à Brest, mais aucune arrestation n’a encore été effectuée. Cet incident s’inscrit dans une tendance plus large en France. La police judiciaire française a recensé plus de 40 enlèvements ou affaires de vol liés aux crypto-monnaies à ce jour cette année, contre environ 30 en 2025. Parmi les victimes précédentes figurent des proches d’un streamer, un dirigeant d’une grande plateforme d’échange de crypto, et une juge.

Message de Gate News, le 22 avril — Le Département américain de la Justice a annoncé le lancement d’un processus d’indemnisation pour les victimes du stratagème de fraude en cryptomonnaie OneCoin, avec plus de $40 millions d’actifs récupérés désormais disponibles pour répartition. Le stratagème, opéré entre 2014 et 2019 par Ruja

Une action collective fédérale accuse AI16Z/ELIZAOS d’une fraude crypto de 2,6 Md$ via de fausses affirmations d’IA et un marketing trompeur, alléguant des favoritismes en interne et un système autonome mis en scène ; demande des dommages-intérêts au titre des lois sur la protection des consommateurs. Résumé : Ce rapport couvre une action collective fédérale déposée dans le SDNY le 21 avril, accusant AI16Z et sa nouvelle marque ELIZAOS d’une fraude crypto de 2,6 milliards de dollars impliquant de fausses affirmations d’IA et un marketing trompeur. Le recours allègue un lien fabriqué avec Andreessen Horowitz et un système non autonome. Il détaille une valorisation maximale au début de 2025, une chute de 99,9 %, et environ 4 000 portefeuilles perdants, des initiés recevant ~40 % des nouveaux tokens. Les demandeurs réclament des dommages-intérêts et une réparation en équité en vertu des lois new-yorkaises et californiennes sur la protection des consommateurs. Des régulateurs en Corée et de grandes bourses ont averti ou suspendu le trading lié.

SlowMist met en garde contre MacSync Stealer (v1.1.2) pour macOS, un voleur d’informations qui dérobe des portefeuilles, des identifiants, des trousseaux système et des clés d’infrastructure, en utilisant des invites AppleScript usurpées et de fausses erreurs « unsupported » ; invite à la prudence et à la vigilance concernant les IOCs. Résumé : Ce rapport résume l’alerte de SlowMist au sujet de MacSync Stealer (v1.1.2), un voleur d’informations macOS ciblant les portefeuilles de cryptomonnaies, les identifiants de navigateur, les trousseaux système et les clés d’infrastructure (SSH, AWS, Kubernetes). Il trompe les utilisateurs avec des dialogues AppleScript falsifiés qui invitent à saisir des mots de passe et des messages « unsupported » factices et visibles. SlowMist fournit des IOCs à ses clients et conseille d’éviter les scripts macOS non vérifiés et de rester vigilant face à des invites de mot de passe inhabituelles.

Lazarus publie Mach-O Man pour macOS afin de voler des données de trousseau et des identifiants de portefeuille, en visant des dirigeants de la crypto via des pop-ups ClickFix et des réunions Telegram compromises. Résumé : L’article indique que le malware Mach-O Man, lié à Lazarus, cible macOS pour exfiltrer des données de trousseau, des identifiants de navigateur et des sessions de connexion afin d’accéder à des portefeuilles de crypto et à des comptes d’échange. La distribution repose sur l’ingénierie sociale ClickFix et sur des comptes Telegram compromis qui dirigent les victimes vers de faux liens de réunion. Le billet relie l’opération au piratage de Kelp DAO du 20 avril et identifie TraderTraitor comme étant affilié à Lazarus, en signalant des mouvements de rsETH entre plusieurs blockchains via la norme OFT de LayerZero.

ZachXBT avertit que les distributeurs automatiques Bitcoin Depot appliquent des primes élevées—$25k en fiat à 108k $/BTC contre ~$75k au prix du marché (environ 44%), entraînant une perte d’environ 7,5k $ sur 0,232 BTC ; il signale aussi une brèche de sécurité de 3,26 M$. Cet article résume les avertissements de ZachXBT concernant les pratiques de tarification de Bitcoin Depot et une récente brèche de sécurité, en mettant en avant les risques liés à des taux gonflés et à des failles de sécurité pour les utilisateurs.

Gate News message, April 22 — Privacy protocol Umbra has shut down its frontend website to prevent attackers from using the protocol to transfer stolen funds following recent attacks, including the Kelp protocol breach that resulted in losses exceeding $280 million. Approximately $800,000 in stolen

Le chef de l’information en matière de cybersécurité de Mist « 23pds » a publié une alerte le 22 avril, affirmant que l’organisation de hackers nord-coréenne Lazarus Group a publié un tout nouvel ensemble d’outils de logiciels malveillants natifs pour macOS, « Mach-O Man », conçu spécifiquement pour le secteur des crypto-monnaies et les cadres dirigeants d’entreprises de grande valeur.

Le conseil consultatif quantique de Coinbase a publié un rapport détaillé avertissant que l’informatique quantique pourrait représenter une menace future pour la sécurité des cryptomonnaies, bien qu’aucun risque immédiat n’existe. Selon le directeur de la sécurité (CSO) de Coinbase, Philip Martin, le rapport a été publié le 21 avril 2026 et inclut des chercheurs de S

Selon l’analyse en chaîne de l’analyste Ai Ayi du 22 avril, l’attaquant de Venus Protocol a transféré 2 301 ETH (environ 5,32 millions de dollars) à l’adresse 0xa21…23A7f il y a 11 heures, puis a ventilé les fonds dans un mélangeur de cryptomonnaies Tornado Cash pour les blanchir ; au moment de l’observation, l’attaquant détenait encore environ 17,45 millions de dollars en ETH sur la chaîne.

Le chercheur en sécurité Doyeon Park a divulgué le 21 avril une vulnérabilité de type zero-day critique (niveau 7,1) dans la couche de consensus de Cosmos, CometBFT. Elle pourrait permettre à des nœuds d’être attaqués par des pairs malveillants lors de la phase de synchronisation de blocs (BlockSync), entraînant un blocage (deadlock) et affectant un réseau protégeant plus de 8 milliards de dollars d’actifs.

Résumé : Le groupe Lazarus a publié une trousse d’outils malveillants native pour macOS nommée Mach-O Man, visant les plateformes crypto et des cadres de haut niveau ; SlowMist invite les utilisateurs à faire preuve de prudence face aux attaques. Résumé : L’article rapporte que le groupe Lazarus a dévoilé Mach-O Man, une trousse d’outils malveillants native pour macOS visant les plateformes de cryptomonnaie et des cadres de haut niveau. SlowMist avertit les utilisateurs de faire preuve de prudence afin d’atténuer les attaques potentielles.

Selon CoinDesk, dans un article publié le 22 avril, la société de services de risques maritimes Marisks basée en Grèce a lancé une alerte : des escrocs se font passer pour des autorités iraniennes et envoient des messages à plusieurs entreprises de transport maritime afin d’obtenir des bitcoins ou du USDT comme « péage » pour passer par le détroit d’Ormuz. Marisks a confirmé que les messages en question ne provenaient pas de canaux officiels iraniens et, d’après Reuters, a indiqué qu’elle pensait qu’au moins un navire a été victime d’une escroquerie, et qu’au cours du week-end, lors de sa tentative de passage, il a encore été pris pour cible par des tirs.

RHEA Finance a publié une mise à jour de suivi concernant l’incident de sécurité du 16 avril, confirmant des progrès tangibles dans le recouvrement des actifs ; à la date de cette mise à jour, il est estimé qu’il subsiste encore un manque d’environ 400 000 dollars, principalement dû à la combinaison de NEAR, USDT et USDC dans la réserve du marché des prêts. RHEA Finance s’engage à combler intégralement tout manque restant, afin de garantir que tous les utilisateurs touchés reçoivent une indemnisation complète.

La chercheuse en sécurité Doyeon Park a révélé une faille zero-day CVSS 7.1 dans CometBFT de Cosmos, pouvant entraîner des gels potentiels des nœuds pendant la synchronisation ; la résistance du fournisseur, les rétrogradations et la divulgation ont conduit à une révélation le 21 avril ; les validateurs doivent éviter les redémarrages avant le correctif. Résumé : La chercheuse en sécurité Doyeon Park a révélé une vulnérabilité critique zero-day CVSS 7.1 dans la couche de consensus CometBFT de Cosmos, susceptible de provoquer le gel des nœuds pendant la synchronisation des blocs, ce qui pourrait affecter des réseaux qui sécurisent plus de $8 milliard de dollars d’actifs. La vulnérabilité ne peut pas voler directement des fonds. Park a entamé une divulgation coordonnée à partir du 22 février, mais s’est heurtée à la résistance du fournisseur à la divulgation publique et à des problèmes avec HackerOne. Le fournisseur a rétrogradé une vulnérabilité liée (CVE-2025-24371) du statut critique à celui d’information le 6 mars, poussant Park à publier une preuve de concept au niveau réseau avant la divulgation publique du défaut le 21 avril. L’avis recommande aux validateurs Cosmos d’éviter de redémarrer les nœuds jusqu’à la publication des correctifs ; les nœuds déjà en consensus peuvent continuer, mais un redémarrage et une resynchronisation pourraient les exposer à des attaques menées par des pairs malveillants, avec un risque d’interblocage.

L’analyse en chaîne suit un attaquant du protocole Venus qui transfère 2,301 ETH (~$5.32M) vers un portefeuille présumé, puis les regroupe via Tornado Cash ; environ $17.45M restent en chaîne. Résumé : Cette note récapitule l’activité en chaîne liée à un attaquant du protocole Venus, y compris le transfert de 2,301 ETH (~$5.32M) vers un portefeuille et le mélange par lots via Tornado Cash, avec environ $17.45M encore détenus en chaîne.

Message de Gate News, 22 avril — Des escrocs se faisant passer pour des autorités iraniennes exigent des paiements en cryptomonnaie en Bitcoin ou en USDT auprès des entreprises de transport maritime en échange d’un passage sûr à travers le détroit d’Ormuz, selon CoinDesk. La société grecque de risque maritime Marisks a publié une alerte indiquant que

La déclaration de Volo sur X concernant le protocole de l’écosystème Sui confirme qu’une faille de sécurité s’est produite, entraînant le vol d’environ 3,5 millions de dollars d’actifs dans 3 coffres-forts spécifiques, impliquant WBTC, XAUm et USDC. Volo indique avoir informé immédiatement la Sui Foundation et les partenaires de l’écosystème après avoir détecté l’attaque, en gelant tous les coffres-forts pour empêcher toute perte supplémentaire ; Volo s’engage à assumer l’intégralité des pertes, sans laisser les utilisateurs porter quelque responsabilité que ce soit.