Trois attaques externes ont drainé 16 millions d’ADA, environ 2,4 millions de dollars, depuis 374 portefeuilles. La cause : une faille dans le logiciel propriétaire de génération de wallets. SecondFi a déployé un correctif pour les utilisateurs non touchés, mais la société de sécurité SlowMist estime les pertes potentielles à plus de 20 millions de dollars.
Points clés – 16 millions d’ADA (2,4 M$) drainés via trois attaques externes distinctes sur 374 portefeuilles SecondFi, l’ex-wallet Cardano Yoroi. – 129 millions d’ADA sauvés in extremis par l’équipe, routés vers un dépositaire tiers indépendant avant que les attaquants n’y accèdent. – Perte totale potentielle au-delà de 20 M$ selon la société de sécurité blockchain SlowMist, chiffre non confirmé en attente d’un audit indépendant.
L’exploit en chiffres
SecondFi, le portefeuille Cardano anciennement connu sous le nom de Yoroi, a confirmé ce mardi 24 juin 2026 avoir subi trois attaques externes. Elles ont vidé environ 16 millions d’ADA, soit près de 2,4 millions de dollars, depuis 374 portefeuilles d’utilisateurs.
L’origine de l’incident se situe dans le logiciel propriétaire de génération de wallets de la plateforme. Selon le rapport de CoinDesk, un correctif a été déployé pour les utilisateurs non affectés.
L’équipe a déclenché des mesures d’urgence avant que les attaquants n’atteignent une réserve plus large. Elle a ainsi mis à l’abri 129 millions d’ADA supplémentaires, routés vers un dépositaire tiers indépendant. ADA, la cryptomonnaie native de Cardano, s’échange actuellement autour de 0,15 $, son plus bas niveau depuis 2020.
Contexte et conséquences
La nature de la faille rend la riposte délicate. « The security risk occurs when an affected user signs a transaction », a précisé SecondFi. Autrement dit, le risque se matérialise au moment de la signature d’une transaction, pas au repos.
La vulnérabilité se loge au niveau de l’adresse générée, pas de la phrase de récupération. Déplacer sa seed phrase — la suite de mots permettant de restaurer un portefeuille — vers un autre wallet ne protège donc pas contre cette attaque. Les fonds restent exposés tant que l’adresse compromise est utilisée.
Cette particularité explique l’écart entre les pertes confirmées et les estimations hautes. La société de sécurité blockchain SlowMist chiffre les pertes totales potentielles à plus de 20 millions de dollars, en tenant compte de l’ensemble des portefeuilles et tokens compromis. Ce montant reste non confirmé, dans l’attente d’un audit indépendant.
Le contexte de marché aggrave le ressenti des victimes. ADA évolue à son plus bas depuis 2020. En mai 2026, les volumes combinés des plateformes d’échange ont reculé de 3,45 % à 4,41 trillions de dollars, leur niveau le plus faible depuis septembre 2024. « It hurts them whenever they lose anything », a reconnu un porte-parole, avant d’ajouter : « This is the unfortunate reality of crypto. »
Réponse de l’équipe et prochaines étapes
SecondFi a appliqué un correctif pour les utilisateurs encore intacts et sécurisé les 129 millions d’ADA via un dépositaire externe. Le périmètre exact des dégâts dépend désormais de l’audit indépendant qui doit valider, ou réviser, l’estimation de SlowMist.
L’épisode rappelle l’importance d’une bonne hygiène de sécurisation des cryptos : conserver ses actifs sur un cold wallet, vérifier chaque transaction avant signature, et suivre les communiqués officiels d’un protocole en cas d’incident.
FAQ
Que s’est-il passé lors de l’attaque contre SecondFi ?
Trois attaques externes ont exploité une faille du logiciel propriétaire de génération de wallets de SecondFi, l’ex-Yoroi. Elles ont drainé 16 millions d’ADA, soit environ 2,4 millions de dollars, depuis 374 portefeuilles. L’équipe a sauvé 129 millions d’ADA supplémentaires avant que les attaquants n’y accèdent.
Puis-je protéger mes fonds en déplaçant ma seed phrase vers un autre wallet ?
Non. La vulnérabilité se situe au niveau de l’adresse générée, pas de la phrase de récupération. Déplacer la seed phrase vers un autre portefeuille ne protège donc pas contre cette attaque spécifique. Selon SecondFi, le risque survient au moment où un utilisateur affecté signe une transaction.
À suivre
Prochaine échéance : l’audit indépendant qui doit confirmer ou réviser l’estimation de 20 M$ avancée par SlowMist. Suivez l’évolution du token sur le cours des cryptomonnaies en attendant les conclusions.
