SecondFi (anciennement Yoroi) suspend ses services après qu'une faille dans son portefeuille Cardano ait vidé les fonds des utilisateurs : 2,4 millions de dollars confirmés, jusqu'à 20 millions de dollars à risque

SecondFi, la plateforme d'auto-garde Cardano qui est le nouveau nom du portefeuille Yoroi de longue date construit par EMURGO, a suspendu ses services après un incident de sécurité qui a vidé les fonds des utilisateurs. Selon la divulgation du projet le 23 juin 2026, et les rapports de Crypto Briefing, Crypto Times et crypto.news, la racine du problème n'était pas un bug de contrat intelligent mais quelque chose de plus fondamental : le logiciel qui générait les portefeuilles produisait des clés privées avec une aléatoire prévisible, ce qui a permis aux attaquants d'atteindre les clés des utilisateurs concernés.

SecondFi a mis en pause les fonctions affectées, est entré en mode maintenance, a pris un instantané des soldes et a exhorté les utilisateurs à déplacer leurs fonds. Les chiffres liés à l'incident varient considérablement selon qui les compte, et cet écart est la chose la plus importante à comprendre.

Pertes confirmées versus l'avertissement du pire scénario

L'évaluation préliminaire de SecondFi est le chiffre conservateur : environ 178 portefeuilles compromis et environ 16 millions d'ADA, d'une valeur d'environ 2,4 millions de dollars à l'époque, drainés, ainsi qu'une quantité non spécifiée de tokens et de NFTs. L'activité suspecte s'est regroupée en environ 200 transactions autour des 21 et 22 juin 2026.

La société de sécurité blockchain SlowMist, dont le fondateur se fait appeler Cos, a publié un chiffre beaucoup plus important. En suivant les mouvements de l'attaquant pendant la nuit, SlowMist a estimé que les pertes potentielles totales pourraient dépasser 20 millions de dollars, potentiellement jusqu'à 129 millions d'ADA. Le mot clé est potentiel. Ce chiffre est une estimation à risque qui couvre les portefeuilles créés avec le logiciel défectueux qui n'ont pas encore été drainés, et non des fonds volés confirmés, et il n'a pas été approuvé par SecondFi, qui déclare que la perte exacte sera divulguée après un audit technique indépendant. La présentation honnête est un drainage confirmé d'environ 2,4 millions de dollars et une exposition au pire des cas, selon SlowMist, de plus de 20 millions.

Pourquoi une faille de génération de clés est si dangereuse

La plupart des exploits DeFi attaquent un contrat intelligent. Celui-ci a attaqué quelque chose en dessous. La sécurité entière d'un portefeuille crypto repose sur la génération de la clé privée à partir d'une aléatoire véritablement imprévisible, afin que personne ne puisse la deviner ou la reproduire. Selon SecondFi et SlowMist, le logiciel de génération de portefeuille web natif Cardano de la plateforme utilisait une aléatoire prévisible, ce qui signifie que les clés qu'il produisait l'étaient aussi. Si un attaquant peut modéliser la façon dont les clés ont été générées, chaque portefeuille créé avec ce logiciel est exposé en même temps, sans qu'aucun phishing ou astuce de contrat ne soit nécessaire. SecondFi a déclaré que le problème était limité à sa génération de portefeuille web natif Cardano. Cette explication est la cause indiquée par le projet et SlowMist et est toujours en attente d'un audit indépendant.

C'est le modèle d'attaque DeFi déterminant de 2026

L'incident SecondFi est un exemple typique de l'origine réelle des pertes DeFi cette année. En 2026, les clés volées, le vol d'identifiants et le compromis d'accès ont dépassé les bugs de contrats intelligents comme cause dominante des pertes DeFi, plusieurs traqueurs attribuant une grande majorité de la valeur volée à cette catégorie plutôt qu'à un code défectueux. Nous avons couvert l'ampleur de cela dans notre récapitulatif des plus grands hacks DeFi de 2026, où les incidents les plus importants provenaient d'infrastructures compromises plutôt que de contrats bogués. Un générateur de nombres aléatoires faible sous un portefeuille est la même leçon à un endroit différent : le code qui détient vos clés est aussi important que les contrats avec lesquels vous interagissez.

Cela se produit également sur une petite scène. Le secteur DeFi de Cardano est modeste, avec une valeur totale verrouillée dans la fourchette approximative de 130 à 142 millions de dollars en 2026 selon les données dérivées de DeFiLlama, ce qui le place bien en dehors des 20 premières chaînes. Selon nos propres calculs rapides par rapport à cette fourchette, même la perte confirmée de 2,4 millions de dollars représente une part significative de la DeFi de Cardano, et un scénario catastrophe de 20 millions de dollars en représenterait une grande partie, tandis que le même montant se ferait à peine remarquer face aux dizaines de milliards d'Ethereum.

Ce que les utilisateurs concernés devraient faire

Si vous avez créé un portefeuille Cardano via SecondFi ou l'ancien flux web Yoroi, l'hypothèse sûre est que le portefeuille peut être compromis, qu'il ait été touché ou non. Suivez les directives officielles de SecondFi, générez un tout nouveau portefeuille en utilisant un logiciel fiable et bien audité, et déplacez-y tous les fonds restants dès que possible. N'importez pas l'ancienne phrase de récupération dans le nouveau portefeuille, car la faiblesse réside dans la façon dont cette phrase a été créée. Méfiez-vous de quiconque propose un outil de récupération ou de remboursement, car de faux assistants suivent régulièrement des incidents comme celui-ci. Notre guide sur les étapes immédiates à suivre lorsqu'un portefeuille est compromis décrit le processus, et avant de passer à un nouveau token, vous pouvez vérifier son contrat avec le Token Safety Checker de DEXTools. Cet article est à titre informatif uniquement et ne constitue pas un conseil financier.