Le protocole de contrats perpétuels décentralisé Ostium a été exploité à hauteur de 23,75 millions d’USDC. L’attaquant a immédiatement échangé les stablecoins dérobés contre 12 084 ETH à un prix moyen proche de 1 966 $, avant de faire passer l’essentiel des fonds par Tornado Cash.
Pourquoi c’est important
Cet exploit est le dernier d’une série de drains DeFi chiffrés en dizaines de millions, avec une trace on-chain désormais bien connue : convertir le butin en stablecoins en ETH natif, puis l’envoyer vers un service de mixage pour rompre la chaîne d’audit. Tornado Cash reste la destination privilégiée des attaquants de grande ampleur malgré sa désignation par l’OFAC en 2022 et la bataille juridique en cours sur la possibilité même de sanctionner ses smart contracts immuables.
Impact sur le marché
La TVL d’Ostium et les éventuelles positions utilisateurs restantes sont les premières touchées, mais la lecture plus large concerne l’USDC et les plateformes de perps on-chain. Un trou de 23,75 M$ dans un seul protocole rappelle que les exploits libellés en stablecoins restent la cible à plus fort levier pour les attaquants, car les fonds peuvent être instantanément convertis en ETH, puis dirigés vers des rails beaucoup plus difficiles à tracer.
Questions fréquemment posées
-
Combien a été volé à Ostium lors de l’exploit ?
L’attaquant a drainé 23,75 millions d’USDC du protocole Ostium, puis a échangé l’intégralité du montant contre 12 084 ETH à un prix moyen proche de 1 966 $.
-
Où l’exploiteur a-t-il envoyé les fonds volés ?
La majeure partie des ETH obtenus a été déposée dans Tornado Cash, le service de mixage sous sanctions américaines depuis 2022, qui reste une destination fréquente pour les attaquants DeFi de grande ampleur.
-
Pourquoi les attaquants échangent-ils l’USDC volé contre de l’ETH avant le blanchiment ?
L’ETH est l’actif natif le plus liquide sur Ethereum et peut être envoyé immédiatement vers des mixers et des bridges, tandis que les stablecoins sont plus faciles à geler au niveau de l’émetteur dès qu’une adresse est signalée.
-
Tornado Cash est-il encore utilisable après sa désignation par l’OFAC ?
Oui. Les smart contracts sont immuables et restent actifs, tandis qu’une longue bataille juridique sur la capacité de l’OFAC à sanctionner du code autonome n’est toujours pas tranchée, ce qui explique pourquoi les exploits de grande valeur continuent d’y transiter.
-
Qu’arrive-t-il aux utilisateurs d’Ostium après un exploit de 23,75 M$ ?
Les fonds des utilisateurs présents dans les pools affectés sont généralement les premiers à subir la perte, et le recouvrement dépend de la cause racine : manipulation d’oracle, compromission de clé privée ou bug de smart contract impliquent chacun des chances différentes de plan de remboursement par l’équipe ou la…