Le 16 juillet 2026, DeFiTuna — un protocole de trading à effet de levier et de prêt basé sur Solana — a été exploité pour environ 580 000 dollars lorsqu'un attaquant a exploité une faiblesse de sa logique de prêt pour autoriser des transferts non autorisés depuis le pool de prêt USDC du protocole.
Ce qui s'est passé
DeFiTuna permet aux utilisateurs de déposer dans des pools de prêt dont la liquidité garantit des positions d'emprunt à effet de levier ailleurs sur la plateforme. Plutôt que de compromettre les portefeuilles des utilisateurs, de recourir au phishing ou de voler une clé privée, l'attaquant a visé les propres contrats de prêt du protocole, manipulant la logique comptable pour déplacer environ 580 000 dollars en USDC hors du pool sans y avoir de droit légitime. Comme la liquidité drainée servait de garantie aux emprunteurs, les retraits ont laissé le pool USDC en déficit — ses engagements envers les déposants dépassent désormais les actifs réellement détenus, la même dynamique de manque qui peut déclencher une ruée lorsque les utilisateurs se précipitent pour retirer en premier. Fait notable, DeFiTuna avait réalisé un audit indépendant de contrats intelligents par Sec3 en 2025, mais l'infrastructure de prêt en cause aurait été modifiée de façon significative après cet audit, et ces contrats mis à jour ne faisaient pas partie de l'examen initial — une lacune qui a laissé le chemin de code modifié non vérifié.
Conséquences
DeFiTuna a déclaré que son équipe avait rapidement identifié et neutralisé le vecteur d'attaque, activant des procédures d'urgence pour isoler les contrats affectés et prévenir d'autres pertes ; une enquête approfondie est en cours. Au moment de la publication, les fonds volés n'avaient pas été récupérés, et le protocole n'avait pas précisé s'il renflouerait le pool ou socialiserait la perte entre les déposants. L'incident se situe au bas du bilan des exploits de 2026 en valeur en dollars, mais le déficit retombe directement sur les prêteurs d'USDC.
Pourquoi c'est important
DeFiTuna s'inscrit dans un schéma d'attaques de 2026 visant les mécaniques de prêt et la comptabilité des protocoles plutôt que directement les échanges décentralisés — la même classe de faille que l'exploit de comptabilité des vaults de Summer.fi quelques jours plus tôt et le drainage de prêt alimenté par oracle chez Bonzo Lend. Il survient aussi au cœur d'une période difficile pour la DeFi de Solana, après la compromission bien plus vaste de Drift Protocol. La lacune d'audit est la leçon la plus tranchante : un audit propre ne couvre que le code audité, et les modifications post-audit du chemin le plus sensible d'un pool de prêt rouvrent exactement le risque que l'examen était censé refermer.
Sources & preuves on-chain
- [01]cryptotimes.iohttps://www.cryptotimes.io/2026/07/17/solana-protocol-defituna-hit-by-580k-exploit-usdc-pool-left-short/
- [02]cryptobriefing.comhttps://cryptobriefing.com/defituna-lending-pools-exploited-580k/
- [03]hokanews.comhttps://www.hokanews.com/2026/07/defituna-hack-rocks-solana-as-580k.html