SlowMist signale une vulnérabilité de Milady Strategy, citant le précédent de l'exploit TokenWorks

Résumé Exécutif

La société de sécurité blockchain SlowMist a détecté une activité potentiellement suspecte liée à Milady Strategy, attribuant la vulnérabilité à un mécanisme similaire à celui précédemment exploité dans les stratégies NFT de TokenWorks, ce qui a conduit à une vigilance accrue du marché.

L'événement en détail

SlowMist a identifié une faille de sécurité potentielle au sein du protocole Milady Strategy, conseillant aux utilisateurs de faire preuve de prudence. La firme a explicitement lié l'activité détectée à un type de vulnérabilité précédemment observé dans les opérations de TokenWorks, où des hackers avaient exploité des contrats pour échanger des NFT de grande valeur contre des alternatives de faible valeur. Le jeton Milady Strategy ($MLDSTR) fonctionne comme un actif ERC-20 sur Ethereum avec une offre fixe d'un milliard de jetons, conçu pour soutenir l'écosystème Milady NFT. Il ne comporte pas de frais de transaction, sa liquidité est entièrement verrouillée sur Uniswap V2 et sa propriété a été renoncée, signifiant un modèle opérationnel décentralisé. L'adresse du contrat du jeton est 0xfb96e5da37163d6cbea9d5cd5196dd55b70994b7. Bien que les instruments financiers spécifiques liés à la présente vulnérabilité n'aient pas été détaillés, la structure sous-jacente du jeton est essentielle pour comprendre l'impact potentiel. L'écosystème Milady plus large, malgré les controverses passées entourant son créateur et les images codées présumées, a démontré une résilience, marquée par le lancement de son jeton CULT qui a atteint un sommet de capitalisation boursière de près de 500 millions de dollars.

Implications sur le Marché

La vulnérabilité identifiée dans Milady Strategy a des implications significatives pour ses utilisateurs et le paysage DeFi au sens large. Les utilisateurs interagissant avec Milady Strategy ou des protocoles similaires sont confrontés au risque de perte d'actifs et de volatilité potentielle des prix pour les jetons associés, y compris $MLDSTR. De tels incidents de sécurité peuvent éroder la confiance dans les protocoles affectés et peuvent conduire à des audits de sécurité plus rigoureux à travers tout l'écosystème Web3. Cette situation sert de rappel brutal des risques de sécurité persistants prévalant dans la finance décentralisée. Le secteur Web3 dans son ensemble a enregistré plus de 3,1 milliards de dollars de pertes au cours du premier semestre 2025, dépassant le total de toute l'année 2024, soulignant un paysage de menaces en escalade. Les vecteurs d'attaque ont évolué des simples bugs vers des exploits multi-étapes sophistiqués ciblant les vulnérabilités on-chain combinées à la manipulation off-chain.

Commentaires d'experts

Les experts en sécurité blockchain et les rapports de l'industrie soulignent constamment la nature évolutive des menaces dans le Web3. L'analyse de Hacken indique que les failles de sécurité opérationnelles, en particulier les vulnérabilités de contrôle d'accès, sont les principaux moteurs des pertes financières, représentant environ 59 % du total en 2025. Les vulnérabilités des contrats intelligents ont contribué à environ 263 millions de dollars, soit 8 % des pertes. Les compromissions de portefeuilles et les attaques de phishing ont entraîné des pertes combinées dépassant 2,1 milliards de dollars au cours de la même période, souvent facilitées par des kits de phishing-as-a-service. Yu Xian, co-fondateur de SlowMist, a précédemment souligné l'ironie d'un attaquant sophistiqué étant victime de « pièges d'autorisation de base » dans l'exploit UXLINK, soulignant que les faiblesses humaines et de processus sont de plus en plus ciblées. CoinMarketCap a également émis des alertes publiques avertissant les utilisateurs de la prolifération des schémas de jetons contrefaits et de la nécessité critique de faire preuve de diligence raisonnable et de vérifier l'authenticité des jetons avant de s'engager dans des transactions.

Contexte Élargi

L'alerte de sécurité Milady Strategy est emblématique des défis auxquels est confronté l'espace Web3 en pleine expansion. La complexité croissante de l'écosystème, avec l'intégration des Layer 2s, des Layer 3s, des protocoles de restaking et des agents IA, aggrave les risques de sécurité. Cet incident renforce la nécessité de pratiques de sécurité rigoureuses, tant pour les développeurs que pour les utilisateurs finaux. Le contrôle d'accès, les signataires compromis, les clés privées divulguées et les configurations de multi-signatures mal configurées restent des points faibles critiques. Il est conseillé aux protocoles et aux utilisateurs de vérifier toutes les surfaces d'interaction, de mettre en œuvre des listes d'autorisation de jetons explicites, d'assurer des vérifications de granularité des permissions au niveau du portefeuille et d'utiliser des aperçus de transactions sur les portefeuilles matériels pour prévenir les approbations malveillantes. Le flux continu d'exploits, de la brèche UXLINK au piratage Cetus, démontre que malgré les avancées technologiques, la vigilance humaine et une sécurité opérationnelle robuste restent primordiales pour la sauvegarde des actifs numériques au sein du marché volatil des cryptomonnaies.