Drainage SOL Earn via API Kiln chez SwissBorg

Le 8 septembre 2025, la plateforme suisse de gestion de fortune crypto SwissBorg a perdu environ 193 000 SOL — environ 41,5 millions de dollars — depuis sa stratégie de staking SOL Earn. La compromission n'était pas chez SwissBorg : l'API du fournisseur de staking de SwissBorg, Kiln, a été piratée, et les attaquants ont manipulé les requêtes pour siphonner du SOL hors des dépôts SwissBorg-Earn gérés par Kiln.

Ce qui s'est passé

SwissBorg proposait aux utilisateurs un produit SOL Earn où les dépôts étaient stakés sur Solana via Kiln, un grand fournisseur d'infrastructure de staking. Kiln opérait l'infrastructure validateur et les clés de signature ; l'app de SwissBorg gérait la couche côté utilisateur.

Les attaquants ont compromis l'API de Kiln — probablement via vol de credentials ou exploitation backend ; le vecteur exact n'a pas été divulgué publiquement en détail complet. Avec l'accès API, ils pouvaient émettre des transactions liées au staking au nom des dépôts de SwissBorg, de manières qui acheminaient finalement les fonds vers des adresses contrôlées par l'attaquant sur Solana.

Le drainage a frappé un portefeuille étiqueté « SwissBorg Exploiter » sur Solscan et a affecté moins de 1 % de la base utilisateur globale de SwissBorg — seulement ceux qui avaient opté pour le produit SOL Earn via la stratégie soutenue par Kiln.

Conséquences

• SwissBorg a mis en pause le staking Solana immédiatement.
• Le CEO de SwissBorg Cyrus Fazel s'est publiquement engagé à couvrir tout manquement depuis le trésor de l'entreprise afin qu'aucun utilisateur n'absorbe une perte — même si les efforts de récupération échouaient.
• La plateforme s'est associée à Fireblocks, à la Solana Foundation et à des enquêteurs white-hat pour tracer les fonds volés. Plusieurs transactions liées à l'attaquant ont été bloquées aux points de passage majeurs des exchanges.
• Kiln a publié son propre post-mortem et resserré les contrôles côté API.

Pourquoi c'est important

SwissBorg est le cas canonique 2025 pour le risque d'API fournisseur dans les produits crypto retail. Le produit visible pour l'utilisateur était celui de SwissBorg, la relation de confiance était avec SwissBorg, mais la véritable frontière de sécurité passait par la surface d'API de Kiln. Quand cette surface a été compromise, la perte a été réelle et la charge du remboursement client est tombée sur SwissBorg — même si la brèche a eu lieu chez le fournisseur.

La leçon structurelle, de plus en plus pertinente à mesure que l'écosystème de l'infrastructure de staking mûrit :

• Les plateformes en façade sont responsables de la posture de sécurité de chaque fournisseur de leur pile de staking — opérationnellement, en termes de réputation, et (par la réponse de SwissBorg) financièrement.
• Les relations fournisseurs basées sur API nécessitent le même scrutin que les relations de custody à clé directe, y compris tests de pénétration, audits tiers des contrôles du fournisseur, et clauses contractuelles sur la divulgation de brèche.
• La réponse « aucun utilisateur ne perdra » de Cyrus Fazel est de plus en plus le playbook attendu pour les plateformes consommateurs établies — et qui a des implications capitalistiques significatives pour les nouveaux entrants qui n'ont pas la profondeur de trésor pour absorber des pertes de 40 M$+ de leur poche.