Le Projet 0 s'engage à rembourser après une compromission GitHub déclenchant une attaque de phishing sur les utilisateurs DeFi

Dans une alerte partagée par le fondateur de Project 0 (P0) MacBrennan Peet, le dirigeant s'est engagé à rembourser intégralement les pertes confirmées après que des attaquants se soient infiltrés dans son système pour rediriger les visites des utilisateurs vers son site web vers un site de vol de crypto.

Le message de MacBrennan a confirmé qu'au moins un utilisateur a perdu 1 000 $ lorsqu'il a essayé le nouveau site « par curiosité ».

L'incident de sécurité visant Project 0 s'ajoute aux nombres records de vols de crypto par des acteurs malveillants exploitant la Mise à jour Fusaka qui était censée rendre les frais de transaction négligeables pour les utilisateurs du réseau Ethereum, ajoutant à un schéma d'attaques ciblant des plateformes riches en liquidités.

Project 0 signale le dernier Détournement d'adresse de domaine DeFi

Selon la divulgation de MacBrennan, les attaquants ont obtenu l'accès au compte GitHub d'un membre de l'équipe de l'application, ce qui leur a permis de rediriger les visites des utilisateurs entre 21h45 et 22h19. 

Bien qu'il n'ait pas précisé son fuseau horaire, les utilisateurs qui ont tenté de visiter le site web de Project 0 pendant la fenêtre d'attaque de 40 minutes ont été dirigés vers un autre site web qui a conduit à la perte d'au moins 1 000 $. 

Selon les données de Defillama, Project 0, un courtage de premier ordre natif DeFi qui permet aux utilisateurs d'emprunter contre l'intégralité de leur portefeuille DeFi sur plusieurs plateformes, détient actuellement près de 90 millions $ en La valeur totale verrouillée (TVL), culminant au-dessus de 110 millions $ depuis le début du suivi fin 2025. Le projet revendique également le soutien de Multicoin, Pantera et Solana Ventures. 

Ce niveau d'activité et de statut, bien qu'attrayant pour les utilisateurs, est également un signal pour les attaquants à la recherche de cibles de grande valeur. 

Cryptopolitan a signalé que OpenEden et BonkFun ont subi des attaques similaires lorsque les attaquants ont compromis des domaines enregistrés auprès des projets. 

Dans les deux cas, l'attaque n'a pas affecté les coffres-forts des projets ni les positions des utilisateurs, car les dommages dans ce type d'attaques se limitent généralement aux visiteurs du site web pendant la fenêtre d'exploitation, qui est généralement rapidement atténuée par des équipes réactives. 

Bien que le montant exact perdu ne soit toujours pas confirmé, MacBrennan s'est engagé à étendre le remboursement à toute autre perte client vérifiée pendant l'attaque. 

Les utilisateurs d'Ethereum deviennent des cibles d'attaques d'empoisonnement d'adresse

Lorsque les développeurs d'Ethereum ont lancé la Mise à jour Fusaka en décembre 2025, ils ont présenté la mise à niveau comme le « boss final » pour rendre les transactions sur le mainnet abordables. 

Ce qu'ils n'avaient pas prévu, c'est qu'elle deviendrait la dernière pièce du puzzle pour les attaquants traquant des cibles de grande valeur dans l'écosystème Ethereum riche en liquidités, qui détient près de 60 milliards $ dans les protocoles DeFi et plus de 160 milliards $ en capitalisation boursière de Stablecoin.  

Le compte officiel Etherscan sur X a dénoncé la menace croissante dans son article « Les attaques d'empoisonnement d'adresse augmentent sur Ethereum ». Le rapport a cité une étude de 2025 comparant les tentatives d'empoisonnement avant et après la Mise à jour Fusaka pour mettre en évidence la prolifération de ces attaques depuis la mise à niveau de décembre. 

Les transferts de poussière, qui sont de petits dépôts (inférieurs à 0,01 $) destinés à remplacer les adresses dans l'historique des transactions des utilisateurs par des portefeuilles contrôlés par les attaquants, ont suivi la tendance alors que l'activité de transaction sur le mainnet Ethereum a augmenté d'environ 30 % dans tous les domaines au cours des 90 jours suivant la Mise à jour Fusaka, avec une augmentation accompagnant de 78 % des créations de nouvelles adresses. 

Tableau comparant le taux d'attaques d'empoisonnement d'adresse avant et après la Mise à jour Fusaka. 

C'est un jeu de chiffres

Cryptopolitan a signalé plusieurs pertes très médiatisées dues au nouveau fléau des utilisateurs d'Ethereum, la perte de 50 millions $ de décembre créant le plus grand titre. Apparemment, la victime de l'incident a en fait envoyé 50 $ dans une transaction de test pour s'assurer qu'elle avait la bonne adresse. 

Cependant, dans le temps qu'il a fallu pour tester l'adresse et initier le transfert réel de 50 millions $, des acteurs malveillants avaient ponctué l'historique des transactions de l'expéditeur avec leurs propres transferts de poussière, ce qui a finalement conduit à la perte. 

Cet incident met en évidence l'ampleur et la rapidité de ces opérations, car les attaquants se font en fait concurrence pour empoisonner davantage les adresses des victimes potentielles. Comme l'a souligné Etherscan, « seulement deux transferts de Stablecoin » par un utilisateur de son service ont déclenché « plus de 89 e-mails d'alerte de surveillance d'adresse ». 

Seulement environ 1 tentative sur 10 000 est réussie, mais lorsque l'on compare les 79 millions $ de pertes confirmées sur 17 millions de tentatives ciblant environ 1,3 million d'utilisateurs, les calculs sont favorables à ces attaquants, qui dépensent moins de 1 $ à chaque tentative. 

Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.