Aller au contenu
Fondé MMXXVIVol. VI · № 284RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 279Autre

Exploit du vault afiUSD d'AFI Protocol

Un attaquant a drainé environ 480 000 USD du vault afiUSD d'AFI Protocol sur Ethereum et a blanchi les fonds via Tornado Cash ; la cause racine n'a pas été divulguée.

Date
Victime
AFI Protocol
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 30 mai 2026, AFI Protocol a perdu environ 480 000 dollars lorsqu'un attaquant a exploité son vault afiUSD sur Ethereum. afiUSD est le produit de stablecoin à rendement du protocole, commercialisé aux côtés de l'infrastructure de preuve de réserves d'AFI pour les actifs du monde réel.

Ce qui s'est passé

L'attaquant a vidé le vault afiUSD et a commencé à blanchir le produit : environ 252 000 dollars en DAI ont été échangés contre de l'ETH via des transactions on-chain, et environ 150 ETH ont ensuite été acheminés vers Tornado Cash après que l'attaquant a testé un portefeuille secondaire avec un petit transfert. AFI a mis en pause le vault concerné, ouvert une enquête et déclaré travailler avec Quantstamp, Cantina et SEAL 911 pour tracer et récupérer les fonds dérobés. Au moment de la mise à jour du protocole, le chemin complet de l'exploit n'avait pas été publié ; l'incident ne doit donc pas être présenté comme une défaillance confirmée d'oracle, de clés ou de conception du vault tant que le post-mortem n'est pas paru. AFI a affirmé que ses systèmes restants étaient sécurisés, avec plus de 225 millions de dollars de valeur totale verrouillée non affectés.

Conséquences

AFI a signalé les adresses de l'attaquant aux plateformes d'échange centralisées et aux partenaires de l'écosystème via SEAL 911 afin de geler le mouvement des fonds pendant la poursuite du traçage. Aucune récupération n'avait été confirmée au moment de la publication, et le recours de l'attaquant à Tornado Cash rend l'ETH blanchi difficile à suivre.

Pourquoi c'est important

L'incident afiUSD est un exemple modeste mais caractéristique de la manière dont les vaults de stablecoins à rendement concentrent le risque : un contrat unique détenant des dépôts mutualisés devient une cible de grande valeur, et un drainage net suivi d'un saut immédiat vers Tornado Cash est désormais le manuel par défaut. Il rejoint d'autres exploits de stablecoins et de vaults de 2024-2026 comme Resupply et Abracadabra, et souligne pourquoi une cause racine non divulguée est un motif de prudence et non de réassurance — la vraie question n'est pas de savoir si 480 000 dollars ont été perdus, mais si la même faille touche le reste du TVL du protocole.

Sources & preuves on-chain

  1. [01]cryptotimes.iohttps://www.cryptotimes.io/2026/06/09/afi-protocol-shares-incident-update-after-480k-exploit-begins-recovery/
  2. [02]cryptoadventure.comhttps://cryptoadventure.com/afiusd-vault-exploit-drains-480k-as-june-hack-run-continues/

Dépôts liés