Shibarium, la solution de mise à l’échelle Layer 2 d’Ethereum liée à l’écosystème Shiba Inu, vient d’essuyer un coup dur. Une attaque coordonnée a permis de détourner près de 2,4 millions de dollars d’actifs, déclenchant une mobilisation générale des équipes techniques.
Une attaque flash loan d’une redoutable efficacité
Le 13 septembre, les développeurs de Shiba Inu ont révélé sur X les détails d’une opération particulièrement audacieuse. Un pirate a exploité des fonds issus d’une faille préexistante du pont (bridge) pour s’emparer en une transaction de 4,6 millions de jetons BONE, le token de gouvernance du réseau. Cette manœuvre de type prêt flash lui a temporairement conféré suffisamment de pouvoir de validation pour apposer un état frauduleux sur la blockchain.
Les jetons BONE restent bloqués dans les mécanismes de staking, ce qui limite actuellement les mouvements de l’attaquant. L’opération initiale s’appuyait sur des fonds prélevés directement du pont compromis : 224,57 ETH (1,05 million de dollars) et 92,6 milliards de SHIB (1,3 million de dollars).
Un réseau de validation largement compromis
L’enquête a mis au jour un scénario inquiétant : 10 validateurs sur 12 ont vu leurs clés de signature compromises. Seuls K9 Finance et Unification ont échappé à cette tentative de signature malveillante. Au-delà d’ETH et SHIB, plusieurs autres tokens ont été vidés mais pas encore liquidés : LEASH (645 000 $), ROAR (284 000 $), TREAT (50 000 $), BAD (17 000 $) et SHIFU (10 000 $).
Une tentative de liquidation de 700 000 $ de jetons KNINE a tourné court grâce à la réactivité du multisignature DAO de K9 Finance. L’équipe a blacklisté l’adresse du pirate, figeant définitivement 248 milliards de KNINE dans son portefeuille.
Réaction immédiate et renforcement sécuritaire
L’équipe Shiba Inu a rapidement suspendu l’ensemble des fonctions de staking et de désengagement pour préserver les fonds communautaires. Les ressources de gestion ont été transférées des contrats proxy vers un portefeuille multisignature matériel ultra-sécurisé (6 signatures sur 9 requises).
Trois sociétés spécialisées dans la cybersécurité blockchain – Hexens, Seal911 et PeckShield – ont été missionnées pour conduire une investigation poussée et analyser les failles exploitées.
Fait notable, un développeur de Shiba Inu opérant sous le pseudonyme Kaal Dhairya a laissé entendre que l’équipe reste ouverte à des négociations avec le pirate. Une forme de clémence assortie d’une récompense modeste pourrait être envisagée en cas de restitution des fonds détournés.
Répercussions boursières et leçons à retenir
Les marchés ont immédiatement sanctionné cet incident. Les tokens de l’écosystème Shibarium ont accusé des chutes substantielles : SHIB a reculé de 1,67 % (cours actuel : 0,000014 $), tandis que LEASH et BONE ont respectivement perdu 5,69 % et près de 22 %.
Cette attaque met en lumière les vulnérabilités persistantes des infrastructures Layer 2 et rappelle l’urgence de sécuriser davantage les ponts inter-chaînes pour protéger les utilisateurs de ces technologies en pleine expansion.