Aztec Connect, une plateforme de confidentialité sur Ethereum mise hors service en 2023, vient d’être vidée de ses fonds par un attaquant qui a exploité une faille dans sa logique de vérification cryptographique.

Le dimanche 14 juin 2026, un hacker non identifié est parvenu à siphonner 2,19 millions de dollars des contrats intelligents d’Aztec Connect.

La particularité de cet incident : la plateforme visée est hors service depuis mars 2023. Aztec Connect était une fonctionnalité de confidentialité construite sur Ethereum, qui permettait aux utilisateurs d’interagir avec des services de finance décentralisée, tout en masquant le détail de leurs transactions.

Le protocole avait été officiellement fermé il y a trois ans, mais ses contrats continuaient de tourner sur la blockchain, et de détenir des fonds réels.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Une faille dans la mécanique de vérification

Les contrats intelligents d’Aztec Connect reposaient sur un système de preuves cryptographiques : pour retirer des fonds, un utilisateur devait soumettre une preuve mathématique démontrant la légitimité de l’opération.

Mais selon CertiK, la société de sécurité blockchain qui a détecté l’incident, le contrat central ne vérifiait qu’une partie des données soumises. La logique de validation contrôlait le début de la preuve, mais la partie du code chargée d’exécuter les transferts lisait ces mêmes données différemment. Ce décalage a permis à l’attaquant de soumettre des preuves manipulées pour créditer de la valeur sans dépôt correspondant, puis de retirer des fonds qui n’auraient jamais dû être accessibles.

Selon les détails rapportés par les analystes, l’opération a été menée en une seule transaction, ciblant sept actifs simultanément, et les fonds ont transité vers un portefeuille fraîchement créé.

L'Ethereum va vivre une vraie révolution // Source : Shubham Dhage / Unsplash
L’Ethereum va vivre une vraie révolution // Source : Shubham Dhage / Unsplash

Aztec Labs impuissant

Si Aztec Labs a confirmé l’incident, ses équipes ont immédiatement précisé qu’elles étaient dans l’incapacité totale d’intervenir. Lors de la fermeture du protocole, les développeurs avaient volontairement renoncé à leurs clés d’administration pour éviter tout point de contrôle centralisé, une décision cohérente pour un outil de confidentialité, mais aux conséquences irréversibles : les contrats sont devenus immuables. Impossible de les mettre en pause, de les corriger ou de les mettre à jour.

La Fondation Aztec, qui chapeaute le réseau Aztec actuel encore en activité, a tenu à préciser que la faille ne concerne pas ses projets existants.

Reste que, comme le soulignent plusieurs médias spécialisés, l’incident pointe un angle mort structurel de la finance décentralisée : un contrat intelligent déployé sur Ethereum ne disparaît pas quand un projet ferme. Il continue d’exister sur la blockchain, indéfiniment, avec les fonds que des utilisateurs y ont laissés. Si une faille y est découverte après coup, et que personne ne détient plus les clés pour intervenir, l’attaque est inévitable.

Ces systèmes orphelins, parfois appelés contrats zombies, peuvent rester exposés pendant des années. L’exploit sur Aztec Connect survient d’ailleurs quelques jours après une attaque similaire sur Raydium, sur le réseau Solana, qui avait coûté environ 1,3 million de dollars.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !