Dans l’écosystème impitoyable de la finance décentralisée (DeFi), la frontière entre une perte totale et un sauvetage inespéré ne tient souvent qu’à la rapidité d’exécution de quelques acteurs bienveillants. Alors que l’année 2025 s’ouvre sur une continuité des vulnérabilités techniques, la culture du hacking éthique s’affirme de plus en plus comme le dernier rempart contre l’effondrement des protocoles. Là où les audits traditionnels échouent parfois à détecter des failles critiques dans des architectures complexes comme les preuves à divulgation nulle de connaissance (Zero-Knowledge Proofs), la communauté des chercheurs en sécurité devient vitale.
C’est précisément ce scénario qui s’est joué cette semaine autour du protocole Foom Cash. Victime d’une faille majeure ayant permis le siphonnage de 2,26 millions de dollars via une erreur de configuration, le projet a vu 81 % de ces fonds sécurisés grâce à l’intervention d’un tiers. Un white hat connu sous le pseudonyme de Duha, épaulé par la société de sécurité Decurity, a réussi à récupérer 1,84 million de dollars avant que les exploitants malveillants ne puissent les disperser définitivement.
Comment le protocole Foom Cash a-t-il été exploité ?
Pour comprendre la nature de cette attaque, il faut plonger dans les mécanismes assez pointus de la cryptographie utilisée par Foom Cash. Le protocole se présente comme une loterie anonyme basée sur des preuves Zero-Knowledge (ZK), une technologie censée garantir la confidentialité des participants. L’exploit ne provenait pas d’une faille dans la cryptographie elle-même, mais d’une erreur humaine lors de sa mise en œuvre.
La vulnérabilité résidait dans une mauvaise configuration du vérifieur Groth16, un système de preuve zk-SNARK couramment utilisé. Concrètement, lors de la phase de déploiement (le « Trusted Setup »), une étape cruciale via l’interface de commande (CLI) a été omise. Cette erreur a laissé deux paramètres cryptographiques essentiels, gamma et delta, sur leurs valeurs par défaut. Imaginez un coffre-fort numérique dont la combinaison serait restée « 0000 » parce que l’installateur a sauté la dernière page du manuel.
Cette négligence a permis aux attaquants de générer de fausses preuves de validité. Selon les données on-chain, cela s’est traduit par la frappe illégitime de plus de 24 000 milliards de jetons FOOM. Cette inflation instantanée et massive a été utilisée pour drainer les pools de liquidité sur les réseaux Base et Ethereum, provoquant une chute vertigineuse de 98 % du cours du token en quelques heures.
L’anatomie d’un sauvetage : le rôle crucial du white hat
Dans ce chaos, l’intervention du white hat Duha illustre parfaitement la course contre la montre qui s’engage lors d’un hack. Contrairement aux procédures judiciaires lentes que l’on observe parfois lors de saisies de fonds centralisés, comme dans certains cas d’arnaques crypto avec saisies massives, la réaction ici devait être immédiate et technique.
Repérant la vulnérabilité le 15 décembre, quelques heures après le début de l’incident, Duha a identifié que le contrat intelligent permettait encore de retirer des fonds. Plutôt que de laisser l’attaquant vider le reste des liquidités, il a exploité la même faille pour « voler » les fonds restants afin de les mettre en sécurité. Il a principalement sécurisé les actifs sur le réseau Base, tandis que l’équipe de sécurité Decurity orchestrait une opération de sauvetage multisig sur le réseau Ethereum.
Le résultat est sans appel : sur les 2,26 millions de dollars compromis, 1,84 million de dollars sont retournés dans les caisses du protocole. Foom Cash a publiquement salué cette action, qualifiant l’intervention de vitale pour la survie du projet. En guise de récompense, et conformément à une politique de bug bounty (prime de bug) souvent promise mais pas toujours honorée dans le secteur, le protocole a versé 320 000 dollars à Duha et 100 000 dollars de frais de sécurité à Decurity.
Pourquoi les hacks DeFi restent-ils si difficiles à prévenir ?
Cet incident soulève une question structurelle inquiétante. Foom Cash avait pourtant fait auditer ses contrats par PeckShield, une firme réputée, en novembre 2025. Comment une erreur aussi « fatale », liée à un paramètre par défaut, a-t-elle pu passer entre les mailles du filet ?
L’ironie est mordante : la complexité même des technologies censées nous protéger (comme les ZK-proofs pour l’anonymat) devient le vecteur d’attaque principal. Les outils de vérification automatisés et même les auditeurs humains peinent parfois à modéliser toutes les interactions possibles, surtout lorsqu’il s’agit de déploiements spécifiques comme les configurations Groth16. Ce cas rappelle douloureusement d’autres incidents récents où des protocoles audités ont flanché sous la pression, un phénomène que nous avons analysé lors de récents incidents de sécurité sur Solana ayant entraîné des fermetures de plateformes.
Le cas Foom Cash démontre également que la sécurité en DeFi ne peut plus être statique. L’audit « tampon de validation » avant un lancement ne suffit plus. La sécurité devient un processus dynamique, dépendant d’une surveillance continue et, de plus en plus, de la bienveillance mercenaire des white hats qui patrouillent la blockchain.
Ce que cela signifie concrètement pour les investisseurs DeFi
Pour l’investisseur particulier, ce type d’événement doit agir comme un rappel brutal des risques inhérents aux protocoles émergents, même ceux qui semblent techniquement avancés.
- La limite des audits de sécurité : La présence d’un badge d’audit, même délivré par un grand nom comme PeckShield, n’est pas une garantie absolue de solvabilité technique. Les erreurs de déploiement post-audit ou les configurations manquantes échappent souvent au périmètre initial de l’analyse.
- Le rôle indispensable des experts indépendants : La survie de vos fonds dépend souvent de chercheurs indépendants comme Duha ou d’enquêteurs on-chain. C’est une dynamique que l’on retrouve dans plusieurs dossiers majeurs, où des figures comme ZachXBT jouent un rôle de lanceur d’alerte essentiel pour la communauté.
- La réalité des pertes résiduelles : Même en cas de succès d’un white hat, la récupération est rarement totale. Ici, environ 420 000 dollars (19 % des fonds) restent dans la nature, probablement aux mains de l’attaquant initial. Les détenteurs de jetons subissent souvent une dépréciation qui ne sera jamais compensée intégralement.
Si le mécanisme de bounty a fonctionné cette fois-ci, il ne constitue pas une assurance tous risques pour l’utilisateur final.
Sur le même sujet :
- Hack de 27 millions $ : trois plateformes Solana ferment leurs portes
- Enquête sur la sécurité des protocoles : quand ZachXBT tire la sonnette d’alarme
- Saisie record de 61 millions USDT : les limites de la récupération judiciaire