Re-exploitation Transit Finance de mai 2026
L'agrégateur cross-chain Transit Finance a perdu ~1,88 M$ en DAI le 13 mai 2026 — un second incident à plusieurs millions après la brèche d'approbation proxy d'octobre 2022.
- Date
- Victime
- Transit Finance
- Statut
- Partiellement récupéré
Le 13 mai 2026, l'agrégateur de swaps multi-chaînes Transit Finance a été drainé d'environ 1,88 million de dollars — son second incident à plusieurs millions après la brèche d'approbation proxy d'octobre 2022 qui avait coûté ~23 M$ aux utilisateurs. Les fonds volés ont été consolidés en ~1,875 M de DAI à une nouvelle adresse Ethereum (0x8a634DfA2609358849D7D65FFA270C8A57a8abA5), avec une partie du drainage provenant de la branche Tron de la plomberie cross-chain du protocole. L'équipe a déclaré que les contrats actuels restent sécurisés, envoyé un message on-chain à l'attaquant offrant une bug-bounty pour un retour sous 48 heures, et s'est engagée à un remboursement complet des utilisateurs.
Ce qui s'est passé
Transit Finance opère comme une couche d'agrégation cross-chain qui route les swaps à travers des DEX sur plusieurs réseaux et fournit du bridging entre eux. PeckShield a d'abord signalé le flux suspect le 13 mai. La valeur drainée s'est coalescée en une seule adresse Ethereum sous forme de DAI, avec des traces on-chain montrant que la sortie originale avait une composante côté Tron avant d'être bridgée.
La déclaration publique de l'équipe que « les contrats actuels restent sécurisés » — combinée à la taille limitée par rapport au TVL — pointe la cause racine vers un chemin d'intégration ou de routage spécifique plutôt qu'une compromission de protocole en bloc. Au moment des rapports publics, le vecteur précis n'avait pas été divulgué dans un post-mortem formel ; le pattern de blanchiment (origine côté Tron, consolidation DAI sur Ethereum) est cohérent avec un abus d'approbation ou de permission de routeur côté agrégateur plutôt qu'avec une compromission de clé de signature fraîche.
Conséquences
- Offre de bounty on-chain : l'équipe a publié un message à l'adresse de l'attaquant offrant un pourcentage de bounty et 48 heures pour une résolution white-hat.
- Engagement de remboursement des utilisateurs : Transit Finance s'est engagé à absorber la perte complète de 1,88 M$ plutôt que la passer aux utilisateurs.
- Aucune réponse publique de l'attaquant ; les DAI consolidés sont initialement restés intouchés à la nouvelle adresse Ethereum.
- L'incident s'est intégré au décompte courant de PeckShield des exploits de ponts de mai 2026, qui a franchi 328 M$ sur huit incidents distincts de pont ou cross-chain dans la première moitié du mois.
Pourquoi c'est important
Transit Finance est une victime récidiviste : l'incident d'octobre 2022 était un bug textbook d'approbation de contrat proxy dans lequel l'attaquant a abusé d'allowances TransitSwap obsolètes pour drainer les tokens détenus par les utilisateurs, et a été partiellement remboursé après négociation on-chain. Le récidive de 2026 — à une taille absolue plus petite mais sur la même classe de protocole — illustre deux patterns que le catalogue a tracés à plusieurs reprises :
- Les agrégateurs cross-chain portent une surface de risque agrégée disproportionnée — chaque chaîne, DEX et pont intégré étend la surface d'attaque, et le protocole détient typiquement un pouvoir d'approbation délégué sur tous.
- L'écart 2022→2026 entre incidents chez une seule victime reflète le pattern DeFi plus large : les protocoles qui survivent à un premier incident majeur ré-architecturent souvent la classe de bug spécifique qui les a touchés, mais réduisent rarement l'exposition structurelle d'approbation et de routage qui a rendu l'attaque originale possible.
Dans le contexte de mai 2026 — la même fenêtre de cinq jours qui contenait THORChain, le pont Verus-Ethereum et Echo Protocol — l'incident de Transit est le plus petit des quatre, mais renforce le titre du mois : l'infrastructure cross-chain est à nouveau la cible principale des attaquants opportunistes et alignés sur des États en 2026, exactement comme elle l'était à l'ère Wormhole / Nomad.
Sources & preuves on-chain
- [01]crypto.newshttps://crypto.news/transit-finance-hack-drains-1-88m-from-cross-chain-protocol/
- [02]cryptobriefing.comhttps://cryptobriefing.com/defi-exploit-transit-finance/
- [03]cryptopolitan.comhttps://www.cryptopolitan.com/transit-finance-to-refund-hack-may-losses/
- [04]cryptotimes.iohttps://www.cryptotimes.io/2026/05/13/1-88m-drained-from-transit-finance-stolen-dai-sits-in-fresh-eth-wallet/