Selon Cointelegraph, le protocole de calcul hors ligne Truebit a récemment subi une exploitation de 26 millions de dollars due à une faille dans son contrat intelligent. Cette vulnérabilité a permis à un attaquant de créer des jetons à un coût quasi nul, entraînant un effondrement de 99 % de la valeur du jeton Truebit (TRU). Cette faille met en évidence les risques de sécurité persistants auxquels sont confrontés même les projets blockchain établis. L'entreprise de sécurité blockchain SlowMist a mené une analyse post-mortem, révélant que l'exploitation provenait d'une faille dans la logique du contrat intelligent du protocole. Cette faille a permis à l'attaquant de créer un nombre important de jetons sans aucun coût en ETH. SlowMist a identifié un manque de protection contre les dépassements dans une opération d'addition d'entiers au sein du contrat Purchase du protocole Truebit. Cette omission a entraîné des calculs incorrects du montant d'ETH requis pour émettre des jetons TRU. En conséquence, les calculs de prix du contrat intelligent ont été erronément réduits à zéro, permettant à l'attaquant d'épuiser les réserves du contrat en émettant des jetons d'une valeur de 26 millions de dollars à un coût minimal. Le contrat a été compilé avec Solidity 0.6.10, une version qui ne disposait pas de vérifications intégrées contre les dépassements, entraînant un « dépassement silencieux » lorsque les calculs dépassaient la valeur maximale de « uint256 », ce qui a fait retomber le résultat à une petite valeur proche de zéro.
L'incident met en évidence la vulnérabilité même des protocoles bien établis face aux menaces de piratage. Truebit, lancé sur le réseau principal Ethereum en avril 2021, n'est pas seul à faire face à ces défis. L'intérêt pour la sécurité des contrats intelligents a connu une forte augmentation à la fin de l'année dernière, lorsque une étude d'Anthropic a révélé que des agents d'intelligence artificielle (IA) commercialement disponibles avaient identifié des exploitations de contrats intelligents d'une valeur de 4,6 millions de dollars. Selon un rapport de l'équipe rouge de l'entreprise d'IA, qui se consacre à la découverte des vulnérabilités du code avant que des acteurs malveillants ne puissent les exploiter, les IA Claude Opus 4.5, Claude Sonnet 4.5 d'Anthropic et GPT-5 d'OpenAI ont conjointement développé ces exploitations lors de tests sur des contrats intelligents.
Les vulnérabilités des contrats intelligents ont été identifiées comme le principal vecteur d'attaque pour l'industrie des cryptomonnaies en 2025, avec 56 incidents de cybersécurité, selon le rapport de fin d'année de SlowMist. Ces vulnérabilités ont représenté 30,5 % de toutes les exploitations de cryptomonnaies, tandis que les compromissions de comptes se sont classées au deuxième rang avec 50 incidents. En parallèle, les arnaques par phishing dans le domaine des cryptomonnaies sont apparues comme la deuxième plus grande menace en 2025, coûtant aux investisseurs 722 millions de dollars sur 248 incidents, selon la plateforme de sécurité blockchain CertiK. Ces arnaques, qui reposent sur le ingénierie sociale plutôt que sur le piratage de code, ont vu leurs pertes diminuer de 38 % par rapport aux 1 milliard de dollars volés en 2024, ce qui indique que les investisseurs deviennent de plus en plus conscients de ces menaces.
