Le 8 juin 2026, le pont cross-chain de Syscoin a été exploité via une faille de validation de preuve qui a permis à un attaquant de frapper environ 5 milliards de SYS non autorisés — plus de cinq fois l'offre en circulation du token — d'une valeur de près de 10 millions de dollars à l'époque. L'équipe a mis le pont en pause en quelques heures et a demandé aux exchanges et partenaires de geler les fonds compromis.
Ce qui s'est passé
Syscoin exploite un pont qui déplace son SYS natif entre la chaîne UTXO du projet et sa couche NEVM compatible EVM. Le pont s'appuie sur des preuves cryptographiques pour confirmer qu'un burn ou un dépôt s'est réellement produit d'un côté avant de libérer ou de frapper les tokens correspondants de l'autre.
L'attaquant a exploité une erreur dans la logique de validation de preuve du pont : le chemin de relais a accepté comme légitime une preuve de transaction falsifiée ou malformée, ordonnant au pont de frapper des tokens qui n'étaient jamais adossés à un dépôt réel. Les observateurs on-chain ont vu environ 5 000 000 000 SYS apparaître et se regrouper dans une seule adresse UTXO, avant d'être répartis en deux sorties compromises d'environ 4 milliards et 1 milliard de SYS. Comme l'offre en circulation avant l'attaque n'était que d'environ 890 millions de SYS, la frappe non autorisée a gonflé l'offre de plus de cinq fois d'un seul coup.
Conséquences
- Syscoin a mis en pause tous les services de bridging peu après la détection des sorties non autorisées, et a déclaré que les opérations resteraient suspendues le temps de neutraliser l'offre illégitime.
- L'équipe a contacté les exchanges, fournisseurs d'infrastructure et partenaires de l'écosystème, leur demandant de mettre sur liste noire, geler ou surveiller de près tout dépôt de SYS lié à la piste UTXO compromise.
- SYS a fortement chuté à l'annonce — d'environ 20 % en intrajournalier selon certains rapports — le marché intégrant le risque de dilution.
- La société de sécurité Halborn a publié une analyse attribuant l'incident à la validation de preuve défaillante du pont.
Pourquoi c'est important
L'exploit de Syscoin est un cas d'école de falsification de preuve de pont, la même classe de bug que derrière le hack du pont BNB Chain, où une preuve de Merkle falsifiée a permis à un attaquant de fabriquer des retraits de centaines de millions à partir de rien. La sécurité d'un pont se résume en fin de compte à une seule question : peut-il être trompé en croyant qu'un dépôt a eu lieu alors que ce n'est pas le cas ? Lorsque le code de vérification de preuve répond « oui », l'attaquant n'a pas besoin de voler du collatéral existant — il peut imprimer de la nouvelle offre ou débloquer directement de la valeur non adossée, la même dynamique qui a drainé le pont Verus–Ethereum plus tôt en 2026.
Les exploits de frappe non autorisée sont particulièrement corrosifs pour les tokens d'infrastructure à faible capitalisation : imprimer 5 milliards de tokens face à une offre en circulation de 890 millions n'est pas le vol d'un montant fixe en dollars, mais une dilution ouverte de chaque détenteur, et les dégâts persistent jusqu'à ce que le protocole puisse prouver de façon crédible que la mauvaise offre a été contenue. La dépendance de Syscoin à la coopération des exchanges pour geler la piste compromise souligne le peu de recours on-chain dont dispose un projet une fois qu'une preuve falsifiée a déjà été exécutée.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-syscoin-bridge-hack-june-2026
- [02]beincrypto.comhttps://beincrypto.com/syscoin-bridge-exploit-5-billion-sys/
- [03]cryptopotato.comhttps://cryptopotato.com/sys-drops-20-after-5b-unauthorized-tokens-minted-in-syscoin-bridge-exploit/
- [04]livebitcoinnews.comhttps://www.livebitcoinnews.com/5-billion-sys-created-in-syscoin-bridge-breach-team-halts-operations/