Une ancienne approbation de jeton Ethereum a été exploitée, permettant à un attaquant de drainer 13,3 millions de dollars en quelques secondes après réception des fonds.
Un portefeuille Ethereum a perdu environ 13,3 millions de dollars en quelques secondes après qu’une approbation de jeton oubliée ait été activée.
Les fonds sont arrivés via une transaction d’abstraction de compte, et l’attaquant a agi immédiatement. Les données de la blockchain montrent que le portefeuille avait involontairement accordé des droits de dépense plusieurs semaines auparavant.
Une fois la transaction effectuée, l’approbation a permis un accès complet sans confirmation supplémentaire. L’incident montre comment des permissions dormantes peuvent rester actives et être utilisées sans avertissement.
Le portefeuille reçoit des fonds et est vidé rapidement
Le portefeuille victime, identifié comme 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD, a reçu environ 13,3 millions de dollars en une seule transaction.
L’attaquant a exécuté le transfert en utilisant un mécanisme d’abstraction de compte conçu pour simplifier les opérations du portefeuille.
De plus, les enregistrements de la blockchain montrent que les fonds sont arrivés et ont été retirés par l’attaquant en quelques secondes. Par conséquent, la rapidité de l’opération n’a laissé aucune marge pour une intervention manuelle ou une action défensive.
La vitesse du drain suggérait que l’attaquant n’avait pas besoin de nouvelles permissions. Au contraire, il disposait déjà d’un accès avant que la transaction ne soit effectuée.
De plus, les trackers de sécurité ont confirmé qu’aucune nouvelle transaction d’approbation n’a eu lieu lors de l’incident. Cela exclut les attaques courantes par phishing ou basées sur des signatures.
Les enquêteurs ont ensuite examiné l’activité onchain historique liée au portefeuille. Leur attention s’est portée sur d’anciennes approbations de jetons qui n’avaient jamais été révoquées.
Cet examen a révélé une approbation antérieure qui permettait encore à des tiers de dépenser. Cette permission dormante est devenue le point d’entrée pour l’exploitation.
L’ancienne approbation a permis l’exploitation
Les enquêteurs ont identifié la cause principale dans une transaction d’approbation effectuée le 1er janvier 2026. Cet appel a accordé des droits de dépense à l’adresse 0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e.
À l’époque, cette approbation n’avait pas suscité d’inquiétude publique. La permission est restée active et n’a pas été révoquée.
Une ancienne approbation a coûté 13,3 millions de dollars.
L’adresse de la victime 0xba15E9b644685cB845aF18a738Abd40C6Bcd78eD a reçu environ 13,3 millions de dollars via une transaction d’abstraction de compte et a été vidée en quelques secondes.
La cause principale remonte à un appel approve() effectué le 1er janvier 2026, accordant des droits de dépense… pic.twitter.com/vDVhX8emXD
— QuillAudits 🥷 (@QuillAudits_AI) 26 janvier 2026
L’adresse de l’attaquant, 0x6cAad74121bF602e71386505A4687f310e0D833e, a ensuite utilisé cette approbation.
Elle a permis un accès complet aux fonds entrants. Une fois les fonds arrivés, l’attaquant a effectué des transferts sans délai. Il a retiré la totalité du solde en une seule action coordonnée.
Mouvements de fonds après le drain
Après le drain, l’attaquant a échangé les actifs volés de jetons en WETH puis en ETH. Ces étapes ont réduit l’exposition au suivi au niveau des jetons.
L’attaquant a ensuite déplacé des fonds entre plusieurs portefeuilles. Les transferts ont été rapides et répartis sur plusieurs adresses.
Cette méthode a créé un schéma de transaction complexe. Les attaquants utilisent souvent de tels schémas pour ralentir les efforts de traçage.
L’analyse de la blockchain montre qu’une partie de l’ETH reste en chaîne. Ces fonds sont conservés dans des adresses encore liées à l’attaquant.
Lecture connexe : 25 millions de dollars de pertes : Machi liquidé pour 1 000 ETH après la chute du marché
Observations onchain en cours
Les observateurs de sécurité continuent de surveiller les portefeuilles liés à l’attaquant. Cependant, les enquêteurs n’ont trouvé aucun service de mixing lors des premiers mouvements.
La présence de fonds en chaîne laisse une marge pour le suivi. Les analystes s’appuient sur le timing des transactions et les liens d’adresses.
L’incident montre comment d’anciennes approbations peuvent rester actives. Les propriétaires de portefeuilles oublient souvent ces permissions avec le temps. L’événement s’ajoute à des cas récents impliquant des approbations obsolètes. Il renforce la nécessité de revoir régulièrement ces permissions.
Selon les dernières données, aucune transaction de récupération n’a été effectuée. Les fonds volés restent sous le contrôle de l’attaquant.
Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’
avertissement.
