Le protocole Cork exploité pour 12 millions de dollars dans wstETH Drain - DeFi Hack News 2026

Cork Protocol, une plate-forme basée sur Ethereum axée sur la tokenisation du risque de dépeg, a été drainée pour environ 12 millions de dollars en ETH jalonné enveloppé (wstETH). L'attaquant a utilisé un contrat malveillant pour retirer 3 761,87 wstETH des coffres du protocole, puis a consolidé le produit en ETH brut sans les blanchir immédiatement. Les contrats ont été suspendus en quelques heures. Cet exploit est le dernier d'une série de DéFi failles de sécurité qui ont caractérisé 2026.

Que s'est-il passé

Le protocole de Cork a révélé qu'un attaquant a drainé 3 761,87 wstETH, d'une valeur d'environ 12 millions de dollars aux prix en vigueur, du protocole via une interaction contractuelle malveillante. L’exploit a été maîtrisé en quelques heures, Cork suspendant les contrats intelligents concernés pour éviter des pertes supplémentaires. Le wstETH volé a été déballé et converti en ETH natif, puis consolidé en une seule adresse contrôlée par l'attaquant.

D'après les vérifications en chaîne les plus récentes, les fonds n'avaient pas été transférés via Tornado Cash, Railgun ou tout autre pont inter-chaînes. Ce schéma d’attente est remarquable. Dans de nombreux exploits DeFi, les attaquants se précipitent pour blanchir des fonds en quelques heures. L'attaquant de Cork a jusqu'à présent conservé les bénéfices parqués dans l'ETH, ce qui laisse au moins une fenêtre de récupération théorique ouverte si Cork ou ses homologues des forces de l'ordre peuvent négocier un retour.

Cork n'a pas divulgué l'autopsie technique complète de l'exploit. Les communications publiques du protocole confirment le modèle de contrat malveillant et le retrait de wstETH, mais la vulnérabilité précise n'a pas été publiée. Cet écart est typique pendant les 48 heures qui suivent un piratage, pendant que les équipes effectuent des analyses médico-légales et évaluent les compromis en matière de divulgation.

Ce que fait réellement le protocole Cork

Cork est une primitive DeFi relativement jeune axée sur un problème de niche mais intéressant : la tokenisation du risque de dépegation des actifs. Le protocole permet aux utilisateurs d'acheter et de vendre des « depeg swaps », des instruments qui paient si un actif cible, par exemple stETH ou USDC, s'écarte de son ancrage attendu de plus d'un seuil défini. La structure est similaire aux swaps sur défaut de crédit dans la finance traditionnelle.

Pour soutenir ces swaps, Cork détient l'actif sous-jacent, dans ce cas wstETH, dans des coffres-forts de garantie. Le swap de depeg est ensuite payé à partir de ces coffres si et quand un événement de depeg se déclenche. Les coffres-forts sont exactement la surface ciblée par l'exploit : en interagissant via un contrat malveillant, l'attaquant a pu extraire des garanties sans le déclencheur de depeg correspondant.

Le produit lui-même est conceptuellement solide. L’exploit est un échec de mise en œuvre du contrat intelligent, et non un échec du modèle économique depeg-swap. Cette distinction est importante pour toute reconstruction : le produit sous-jacent peut survivre à un incident de sécurité si l'équipe peut identifier la vulnérabilité, la corriger, auditer le correctif et communiquer de manière transparente avec les déposants.

Où cela se situe-t-il dans le paysage du hack de 2026

2026 a été une année brutale pour la sécurité DeFi. Le total volé aux protocoles DeFi cette année dépasse déjà les 2 milliards de dollars. L'incident le plus important reste l'exploit du pont KelpDAO de 292 millions de dollars attribué au groupe nord-coréen Lazarus, qui a drainé 116 500 rsETH via une manipulation RPC empoisonnée. Drift Protocol a perdu 280 millions de dollars dans une attaque distincte liée à Lazarus contre Solana. Le protocole Cetus sur Sui a perdu 223 millions de dollars à cause d'une faille de débordement AMM. Le pont Ethereum de Verus a été exploité pour plus de 5 400 $ d'équivalent ETH en mai.

Les 12 millions de dollars de Cork sont modestes par rapport à cette comparaison, mais ils correspondent à un modèle. La plupart des exploits de 2026 proviennent de l'un des trois vecteurs suivants : des failles de vérification de pont, des manipulations d'Oracle ou des bogues de logique de contrat intelligent dans des protocoles plus récents qui ont été mis à l'échelle avant d'effectuer des audits approfondis. Le liège appartient à la troisième catégorie. Le protocole est jeune, le produit est nouveau et la surface d’attaque est suffisamment complexe pour que même des évaluateurs bien intentionnés puissent rater des chemins critiques.

Impact sur le marché

L'impact direct sur wstETH et sur l'écosystème plus large de jalonnement Ethereum est minime. Le flottant stETH du Lido dépasse les 30 milliards de dollars, et la variante enveloppée wstETH circule dans une taille similaire. Une extraction de 12 millions de dollars se situe bien dans la fourchette de bruit des flux de liquidités normaux. Le Lido lui-même n'est pas affecté : le wstETH était détenu dans les coffres-forts de Cork, et non dans les contrats du Lido.

La réponse plus large du marché a été modérée. Le prix de l’ETH n’a pas réagi de manière significative à la divulgation et le stETH a continué de s’échanger étroitement par rapport à son ancrage. La nature confinée de l'exploit, combinée à la petite taille de Cork par rapport aux principaux protocoles DeFi, a limité la contagion.

Pour les déposants de Cork, l'impact est plus direct. La TVL du protocole est désormais inférieure du montant volé, et toute récupération dépend de la négociation avec l'attaquant ou d'une éventuelle action des forces de l'ordre. L'équipe n'a pas encore publié de plan de remédiation, indiquant notamment si les utilisateurs concernés seront indemnisés par la trésorerie ou si le protocole reprendra ses opérations après un correctif et un audit.

Contexte : la question de la relance

Une caractéristique distinctive de l'exploit Cork est le comportement de l'attaquant après le vol. Les fonds restent en ETH, à une seule adresse, non mélangés. Ce schéma est parfois cohérent avec une activité de chapeau blanc ou de chapeau gris, où un exploiteur a l'intention de restituer des fonds en échange d'une prime. Cela est également cohérent avec le fait que les attaquants attendent la période de contrôle initiale avant de blanchir, en espérant que l’attention portée à la conformité s’estompera.

Cork n'a pas révélé si la communication en chaîne avec l'attaquant avait commencé. Lors de plusieurs incidents antérieurs, les protocoles ont réussi à négocier des retours en offrant 10 à 20 % des fonds volés sous forme de prime aux bogues et d'accord de non-poursuite. L'affaire du protocole Cetus plus tôt en 2026 est un précédent pertinent : Cetus a offert au pirate informatique une prime de 6 millions de dollars pour le vol de 223 millions de dollars, et des négociations de récupération partielle se sont déroulées publiquement sur la chaîne.

Si l'attaquant de Cork accepte un accord de prime similaire, le protocole pourrait récupérer un capital important et reprendre ses opérations. Dans le cas contraire, les fonds resteront probablement dans l’ETH pendant une période prolongée avant tout mouvement, car l’attention accrue des forces de l’ordre sur les voies de blanchiment de cryptomonnaies a rendu les sorties discrètes beaucoup plus difficiles qu’elles ne l’étaient il y a deux ans.

Comment suivre

Le wstETH volé et son dérivé ETH peuvent être suivis sur Etherscan via l'adresse consolidée de l'attaquant, qui a été publiée par plusieurs comptes médico-légaux en chaîne. Le déplacement de ces fonds, notamment vers un mélangeur ou un pont, serait le premier signal indiquant que la reprise est improbable.

Pour les utilisateurs de Cork, les canaux protocolaires officiels sont la seule source de compensation ou de redémarrage des délais. Les services génériques de surveillance DeFi, notamment DeFiLlama et DexTools, refléteront toute récupération TVL ou commerciale au fur et à mesure qu'elle se matérialise.

FAQ

Le protocole de Cork est-il toujours opérationnel ?

Les opérations sont suspendues à compter de l'exploit. L'équipe n'a pas encore annoncé de calendrier de redémarrage. Les opérations futures dépendent du correctif de vulnérabilité, de l'achèvement de l'audit et de tout plan de compensation pour les utilisateurs concernés.

Les usagers du Lido sont-ils concernés ?

Non. L'exploit a drainé le wstETH qui était détenu dans les coffres-forts de Cork, et non dans les contrats du Lido. stETH et wstETH continuent de s'échanger normalement et l'infrastructure du Lido n'est pas affectée.

Les fonds peuvent-ils être récupérés ?

Peut-être. L’ETH volé reste dans une seule adresse contrôlée par l’attaquant, sans aucune activité de blanchiment pour l’instant. Le rétablissement dépend de la négociation, du retour volontaire ou d’une éventuelle action des forces de l’ordre.

L'exploit de Cork était-il lié à la Corée du Nord ?

Aucune attribution publique n'a été faite. Plusieurs exploits majeurs de DeFi en 2026 ont été liés au groupe Lazarus, mais Cork n'a pas été associé à des acteurs parrainés par l'État d'après les rapports publics.

Comment cela se compare-t-il aux plus gros hacks de 2026 ?

La perte de 12 millions de dollars à Cork est faible par rapport aux incidents KelpDAO de 292 millions de dollars, Drift de 280 millions de dollars ou Cetus de 223 millions de dollars. Cela correspond à une cadence constante d’exploits DeFi de taille moyenne qui, ensemble, représentent la majorité des pertes DeFi de plus de 2 milliards de dollars en 2026.