Une collision de hachage a tout simplement effacé 96 % de MAPO – Voici ce qui s'est passé

MAPO a chuté de plus de 96 % après une exploitation de collision de hachage sur Butter Bridge, permettant à un attaquant de créer près d’un quadrillion de jetons. MAP Protocol a maintenant suspendu le trading et prévoit un nouveau contrat.

Le jeton ne s’est pas évaporé lentement. MAPO a chuté de plus de 96 % en quelques heures après qu’un attaquant a trouvé un moyen de faire croire à Butter Bridge qu’il avait déjà traité une transaction légitime.

La société de sécurité Blockaid a signalé l’incident sur X, identifiant la cible comme Butter Bridge V3.1, également connu sous le nom d’OmniServiceProxy. Selon Blockaid sur X, l’attaquant a trompé le pont sur Ethereum et BSC, en créant environ 1 quadrillion de jetons MAPO directement dans un portefeuille fraîchement créé. L’offre en circulation légitime tournait autour de 208 millions. Ce seul calcul explique la majeure partie de la fluctuation du prix.

Le bug que personne n’a signalé jusqu’à ce qu’il soit trop tard

La cause profonde n’était pas une fuite de clé. Ce n’était pas un problème avec le contrat propre de MAPO. Selon la décomposition technique de Blockaid sur X, le pont authentifiait les tentatives de message inter-chaînes en utilisant keccak256(abi.encodePacked(…)) sur quatre champs de bytes dynamiques consécutifs. Le problème : abi.encodePacked n’ajoute pas de préfixes de longueur. Des allocations de champs différentes peuvent produire la même chaîne d’octets, et donc le même hachage.

L’attaquant a placé un message MAP-to-ETH signé par un oracle pointant vers une adresse pré-calculée. Aucune contrat n’existait encore à cet endroit. Le pont a mis en cache une tentative “NotContract”. Ensuite, le contrat d’exploitation a été déployé à cette adresse précise.

Ce qui a suivi était une séquence en trois étapes. Selon Blockaid sur X, l’attaquant a appelé retryMessageIn en utilisant des délimitations de champs réarrangées qui se composaient de la même chaîne de 601 octets. Même hachage, même passage de garde. Le pont a créé 10^15 MAPO directement dans le portefeuille de l’attaquant.

Les exploits de ponts inter-chaînes créant des jetons non autorisés sont devenus un schéma récurrent dans l’infrastructure DeFi cette année.

52 ETH perdus. Près d’un quadrillion de jetons toujours là

L’attaquant a agi rapidement. Blockaid a confirmé sur X que 52,21 ETH, environ 180 000 dollars, avaient été drainés du pool ETH/MAPO de Uniswap V4 après que près d’un milliard de MAPO y ait été déversé. Ce chiffre semble élevé. Il représente aussi moins de 0,001 % de ce que détenait l’attaquant.

Environ 999,999 milliards de MAPO restaient dans le portefeuille de l’attaquant au moment du rapport, selon Blockaid. La transaction d’exploitation est visible sur Etherscan à 0x31e56b4737649e0acdb0ebb4eca44d16aeca25f60c022cbde85f092bde27664a. L’adresse de l’attaquant est 0x40592025392BD7d7463711c6E82Ed34241B64279 et le contrat d’exploitation se trouve à 0x2475396A308861559EF30dc46aad6136367a1C30.

MAP Protocol a confirmé sa prise de conscience sur X le même jour. MAP Protocol a indiqué sur X que l’équipe était au courant et en coordination avec des partenaires de sécurité externes pour l’enquête et la containment. Le pont entre MAPO ERC-20 et le mainnet MAPO a été suspendu.

MAP Protocol décide d’invalider les avoirs de l’attaquant

Le lendemain, la réponse est passée de la containment à une refonte structurelle. MAP Protocol a annoncé sur X la suspension de tous les services de conversion entre les jetons MAPO à l’adresse du contrat ERC20 original 0x66d79b8f60ec93bfce0b56f5ac14a2714e509a99 sur les réseaux BSC et Ethereum, ainsi que MAPO sur le mainnet MAP Protocol.

Toutes les plateformes d’échange concernées ont été informées de désactiver les dépôts et retraits pour ces jetons, a indiqué l’équipe. Les utilisateurs ont été avertis d’éviter de trader MAPO associé au contrat original sur les plateformes décentralisées, y compris Uniswap et PancakeSwap.

Une nouvelle adresse de contrat sera publiée. Un instantané sera effectué à une date jugée appropriée par le projet. Tous les jetons encore détenus par des adresses contrôlées par l’attaquant, qui à ce stade comptent des centaines de milliards, seront totalement exclus de toute conversion ou futur instantané.

MAP Protocol a également indiqué sur X, dans un suivi reconnaissant le suivi de PeckShield de l’incident, que l’équipe coordonnait avec les échanges et partenaires depuis la brèche. Une déclaration officielle concernant les prochaines étapes, les détails de l’instantané, et le nouveau contrat était en préparation.

Les défaillances de ponts ont causé une part disproportionnée des pertes cryptographiques en 2026, avec des attaquants ciblant systématiquement les intersections où l’automatisation et la confiance se croisent.

Les utilisateurs ont été conseillés par le projet de ne se fier qu’aux canaux officiels. Les conseils non officiels, a averti l’équipe, doivent être totalement ignorés.