Volé en une journée 16 millions de dollars ! Dévoilement de la vulnérabilité la plus "docile" de l'histoire du Web3 : pourquoi votre autorisation est-elle devenue le guichet automatique des hackers ?

Mes frères, le grand spectacle de 2026 arrive. Juste à la fin du mois dernier (25 janvier), quelque chose de extrêmement étrange s'est produit sur la chaîne.

Deux projets complètement différents - SwapNet sur la chaîne Base et Aperture Finance sur Ethereum, ont été volés consécutivement le même jour.

L'un a perdu 13,3 millions de dollars, l'autre 3,2 millions de dollars.

Ce n'est pas le montant le plus effrayant, mais c'est que les méthodes de crime sont complètement identiques, et même le code de vulnérabilité semble avoir été sculpté dans le même moule. De plus, ces deux contrats sont dans un état de "boîte noire" non vérifiée.

Il est difficile pour un hacker humain de déchiffrer deux codes complexes de boîte noire en une journée. Dans le milieu, on pense généralement : c'est l'œuvre d'un hacker IA.

Aujourd'hui, parlons simplement de ce qui a conduit d'innombrables personnes à la ruine à cause de cette **'faille d'appel arbitraire'**.

1 Faille principale : le contrat est devenu un 'naïf'.

Le cœur de cette attaque repose sur une faille appelée 'appel arbitraire (Arbitrary Call)'. Ça a l'air très professionnel ? Pas de panique, je vais vous donner une analogie.

La logique normale d'avant :

Vous allez à la banque (protocole DeFi) pour des affaires, le caissier (contrat intelligent) examinera strictement vos instructions :

• "Vous voulez faire un virement ? Très bien, la signature est bonne ? Le solde est-il suffisant ?"

• "Vous voulez déposer de l'argent ? Très bien, voici votre reçu." Le caissier ne traite que les opérations dans le cadre des règles établies.

La logique de cette faille (appels arbitraires) :

Le contrat de SwapNet a une 'fonction' spéciale, il est comme un 'micro' qui n'a pas de cerveau. Le hacker lui dit : "Hé, SwapNet, je te donne une enveloppe, aide-moi à remettre l'enveloppe à la banque USDC et fais les affaires écrites dans l'enveloppe en ton nom."

Le contrat de SwapNet dit : "D'accord !" Il a donc pris l'enveloppe sans même vérifier ce qui était écrit à l'intérieur et s'est directement rendu à la banque USDC.

Le problème mortel ici est :

1. Il ne vérifie pas à qui l'enveloppe est destinée (Target).

2. Il ne vérifie pas quelles instructions (Data) sont écrites dans l'enveloppe.

3. Le pire, c'est qu'il agit sous sa propre identité (SwapNet) !

2 Le processus d'attaque : comment avez-vous perdu votre argent ?

Vous vous souvenez de la première étape que nous suivons généralement en jouant avec DeFi ? "Autoriser (Approve)". Pour faciliter les transactions, vous autorisez généralement SwapNet à utiliser votre USDC (voire à des limites illimitées).

C'est comme si : vous avez donné à SwapNet une 'clé de secours' que vous pouvez utiliser pour retirer de l'argent à tout moment.

Le scénario d'attaque est le suivant :

1. Victime : utilisateur honnête, pour simplifier les choses, a donné à SwapNet une autorisation illimitée (Unlimited Approval).

2. Hacker : a découvert que SwapNet avait cette fonction de 'messager' naïf.

3. Le hacker construit l'instruction : il a écrit un mot (CallData) qui dit : "transférer 10 millions d'USDC du portefeuille de la victime au hacker."

4. Utiliser un tiers pour frapper :

   • Le hacker appelle la fonction vulnérable de SwapNet.

   • SwapNet prend le mot et, en son propre nom, a soumis cette demande de transfert au contrat USDC.

5. Perspective du contrat USDC :

   • "Eh bien ? Quelqu'un demande à transférer l'argent de la victime."

   • "Qui a initié cela ? Oh, c'est SwapNet."

   • "Vérifions les enregistrements, la victime a-t-elle autorisé SwapNet à manipuler son argent ?"

   • "Oui, elle a autorisé ! Donc pas de problème, transfert !"

6. Résultat : l'argent de la victime a été transféré instantanément, SwapNet est devenu le complice parfait.

En résumé : le hacker a profité de votre 'confiance' pour transformer SwapNet en son 'intermédiaire'.

3 Pourquoi dit-on que c'est l'œuvre de l'IA ?

S'il s'agissait de code open source, les hackers humains pourraient facilement repérer cette erreur de base. Mais le problème est que ces deux contrats ne sont pas open source (Non vérifiés). C'est comme vous donner un tas de code illisible (bytecode) et vous demander de trouver une faille logique dans des milliers de lignes.

• Méthode humaine : nécessite une expertise en ingénierie inverse très approfondie, prenant plusieurs jours voire plusieurs semaines.

• Méthode IA :

  1. Décompilation en quelques secondes : l'outil IA transforme instantanément le code binaire en pseudo-code relativement compréhensible.

  2. Reconnaissance de modèles : les yeux de l'IA sont des règles. Ils voient immédiatement la combinaison fatale : CALLDATACOPY (copier l'entrée de l'utilisateur) + .call() (exécuter l'appel).

  3. Analyse en masse : l'IA peut scanner sans relâche des milliers de contrats sur la chaîne.

En une journée, deux projets différents, la même faille cachée, le même code non open source. Ce n'est pas une coïncidence, c'est une récolte industrialisée.

4 2026 Guide de survie : que devons-nous faire ?

Cet événement nous a alertés : le code fermé n'est pas un talisman, il n'y a pas de secrets devant l'IA.

En tant qu'utilisateur ordinaire, ne voulant pas devenir la prochaine victime, rappelez-vous bien ces trois règles d'or :

1. Refuser 'l'autorisation illimitée'

Ne cliquez pas sur 'Max' ou 'Limite illimitée' juste pour économiser quelques frais de Gas ! Si vous prévoyez de changer seulement 1000 U, autorisez seulement 1000 U. Même si le protocole est piraté, le hacker ne peut emporter que ces 1000 U, et non pas l'ensemble de votre fortune.

2. Nettoyage régulier des autorisations

Allez sur Revoke.cash ou dans votre portefeuille Rabby pour vérifier ces protocoles que vous n'avez pas utilisés depuis longtemps, et révoquez rapidement les autorisations (Revoke). Chaque clé que vous laissez là-bas est une épée de Damoclès suspendue au-dessus de votre tête.

3. Éloignez-vous des projets 'boîtes noires'

Si un projet DeFi n'ose même pas ouvrir son code pour vérification (Non vérifié), peu importe ses rendements, ne le touchez pas ! Si même le code n'ose pas être montré, il y a quelque chose de louche, ou il est trop mal écrit par peur d'être critiqué.

Résumé :

Dans le monde de Web3, le code est la loi. Mais lorsque l'IA peut détecter des failles légales plus rapidement que les humains, ce jeu du chat et de la souris est déjà passé à un niveau supérieur.

Pour les hackers, la faille d'appel arbitraire est comme un chèque en blanc signé. Pour nous, bien gérer nos autorisations est la dernière ligne de défense pour garder notre portefeuille.

Transférez cela à vos amis dans le monde des cryptomonnaies, ne laissez pas leurs autorisations devenir le guichet automatique des hackers ! 🛡️

Avertissement : Cet article est uniquement à des fins éducatives et ne constitue pas un conseil en investissement. Les risques DeFi sont très élevés, veuillez être responsable de vos actifs. 👇

------------je---------suis-------la--------ligne--------de--------séparation--------------

Avertissement : Le contenu publié dans cet article vise à partager des modèles économiques commerciaux et à diffuser des connaissances, et n’a pas pour but de fournir des conseils spécifiques. L'auteur ne participe pas, n'investit pas, n'opère pas, ne conseille pas, ne partage pas et n'analyse pas en privé de projets. Avant de prendre toute décision, nous vous recommandons fortement de mener vos propres recherches et analyses et de prendre des décisions éclairées en fonction de votre situation personnelle.

Si vous aimez ce contenu, n'hésitez pas à aimer, suivre, commenter et partager, pour plus d'analyses techniques, etc.🌹$ETH $XRP $BNB

BNBUSDT

Perp

667.65

+2.00%

XRPUSDT

Perp

1.4262

+2.22%

ETHUSDT

Perp

2,136.01

+2.39%