Hypervault victime d'un rugpull suspecté de 3,6 millions de dollars, les fonds transférés vers Tornado Cash

Résumé analytique

Le protocole DeFi Hypervault a subi un rugpull suspecté de 3,6 millions de dollars le 26 septembre 2025, lorsque la firme de sécurité blockchain PeckShield a signalé des sorties inhabituelles de 752 ETH, déplacées par la suite vers Tornado Cash, suscitant des inquiétudes quant à la confiance dans l'écosystème Hyperliquid.

L'événement en détail

Le 26 septembre 2025, la firme de sécurité blockchain PeckShield a identifié et signalé environ 3,6 millions de dollars de sorties inhabituelles de la plateforme de finance décentralisée (DeFi) Hypervault. L'activité suspecte a commencé par un retrait substantiel d'Hypervault, un protocole d'optimisation de rendement fonctionnant sur Hyperliquid. Les actifs ont ensuite été transférés du réseau Hyperliquid vers la blockchain Ethereum. Après avoir atteint Ethereum, les fonds retirés ont été convertis en ETH, avec un total de 752 ETH (environ 3 millions de dollars) déposés dans Tornado Cash, un service de mixage de cryptomonnaies fréquemment utilisé pour masquer les traces de transactions. Suite à ces transactions, le compte X officiel (anciennement Twitter) d'Hypervault a été supprimé et son serveur Discord a été désactivé. Parallèlement, le site web officiel du protocole est devenu inaccessible, ce qui a conduit à de fortes suspicions d'une arnaque de sortie, communément appelée « rugpull ».

Mécanismes financiers

Hypervault fonctionnait comme un agrégateur de rendement auto-composé non-dépositaire sur HyperEVM. Le protocole maintenait des soldes de comptes internes et un indice d'accumulation global conçu pour créditer les profits réalisés aux déposants. Il employait des adaptateurs de stratégie modulaires pour déployer le capital vers des lieux externes tels que des plateformes de prêt, des protocoles de bouclage et des teneurs de marché automatisés à liquidité concentrée (CL-AMM). Un bot de gardien interne était responsable de la récolte des récompenses, de leur conversion en jeton sous-jacent du coffre-fort, de l'application des frais de performance et du redéploiement du capital. Le rugpull allégué impliquait le mouvement systématique d'actifs : retrait initial d'Hypervault sur Hyperliquid, pont vers le réseau Ethereum, conversion en ETH, et le transfert ultérieur de 752 ETH vers Tornado Cash. Ce processus en plusieurs étapes est cohérent avec les méthodes utilisées pour obscurcir le flux de fonds acquis illégalement.

Implications pour le marché

Cet incident devrait favoriser un sentiment baissier dans le secteur DeFi, impactant particulièrement la confiance des investisseurs dans les projets nouveaux ou moins audités offrant des rendements élevés. L'événement place l'écosystème Hyperliquid sous surveillance, bien que la blockchain Hyperliquid sous-jacente elle-même ne soit pas affectée. Les critiques affirment que les projets tiers non audités au sein de l'écosystème Hyperliquid risquent de nuire à la confiance. L'incident met en évidence les vulnérabilités inhérentes associées aux protocoles DeFi sans permission et pourrait déclencher une prudence accrue chez les investisseurs lors de l'évaluation des opportunités génératrices de rendement. L'utilisation d'un mixeur comme Tornado Cash complique davantage les efforts de récupération potentiels et souligne les défis liés au traçage des fonds après une exploitation.

Contexte plus large

Le rugpull d'Hypervault s'ajoute à une liste croissante d'incidents de sécurité et d'arnaques de sortie au sein de l'écosystème Web3 plus large. Bien que la blockchain Hyperliquid reste techniquement saine, l'association avec un projet qui aurait escroqué les utilisateurs d'une somme importante peut ternir la réputation de l'écosystème et entraver sa croissance. Cet événement renforce les appels à des audits de sécurité plus robustes, à une transparence accrue dans les opérations des projets et, potentiellement, à des processus de vérification plus solides dirigés par la communauté pour les nouveaux protocoles DeFi. L'incident sert également de rappel des risques associés à la finance décentralisée, en particulier pour les projets qui manquent d'antécédents prouvés ou d'évaluations de sécurité indépendantes approfondies. Il pourrait accélérer les discussions concernant la nécessité d'une meilleure diligence raisonnable de la part des utilisateurs et des plateformes, impactant le sentiment général des investisseurs et influençant potentiellement la trajectoire des tendances d'adoption des entreprises dans l'espace DeFi.