Le 2 février 2022, le bridge Wormhole, qui relie Solana et Ethereum, se faisait dérober 120 000 wETH, soit environ 320 millions de dollars, selon Chainalysis. C’était alors le plus gros vol de la DeFi sur ce type de pont. Quatre ans plus tard, l’épilogue est moins sombre que ne le laissait craindre l’événement : les fonds ont été renfloués en 24 heures, et Wormhole comme Solana ont rebondi. Retour sur l’un des hacks fondateurs du secteur.

Au programme

  • 120 000 wETH volés, soit environ 320 M$, via une faille de vérification de signature
  • Jump Crypto a réinjecté 120 000 ETH en moins de 24 heures pour préserver l’ancrage 1:1
  • Le pirate n’a jamais été identifié et a déplacé les fonds dès 2023

Que s’est-il passé lors du hack de Wormhole ?

Une signature falsifiée a permis de créer de la fausse monnaie. L’attaquant a exploité une faille dans la fonction de vérification des signatures du protocole, en soumettant un faux compte système à la place du bon. Cette manipulation a validé un message forgé, autorisant la frappe de 120 000 wETH sur Solana sans aucune contrepartie déposée.

Or ces wETH sont des jetons enrobés censés être adossés à de vrais ETH bloqués sur Ethereum. Le pirate a converti une partie de son butin en ETH bien réels. Le reste menaçait de transformer des milliers de wETH en coquilles vides. La faille touchait le cœur du mécanisme du pont.

Comment les fonds ont-ils été remboursés ?

Par la maison-mère, en urgence. Jump Crypto, propriétaire de Wormhole, a réinjecté 120 000 ETH de ses propres réserves en moins de 24 heures. L’objectif était de maintenir l’ancrage 1:1 du wETH et d’éviter l’insolvabilité des protocoles Solana qui l’acceptaient en garantie.

Le sauvetage a coûté environ 320 millions de dollars à Jump. Dès le lendemain du hack, le réseau était rétabli et les wETH de nouveau couverts. Une proposition de prime à l’amiable de 10 millions de dollars, adressée au pirate, avait au préalable échoué.

Le pirate a-t-il été retrouvé ?

Non, il court toujours. Après près d’un an de silence, les fonds volés ont commencé à bouger début 2023, selon Elliptic. Le pirate a converti environ 155 millions de dollars en stETH, puis a utilisé une partie comme garantie sur MakerDAO pour emprunter et démultiplier ses positions. Aucune attribution publique n’a été confirmée.

Jump a toutefois récupéré une large part du préjudice. En contre-attaquant via les mêmes protocoles, le groupe a repris environ 140 millions de dollars d’actifs au pirate. Une bataille on-chain inédite, à la frontière du droit. Le butin restant demeure traçable, mais hors de portée.

Où en est Wormhole aujourd’hui ?

Le projet est devenu une infrastructure majeure. Loin d’avoir coulé, Wormhole a levé 225 millions de dollars fin 2023, à une valorisation de 2,5 milliards. Il a lancé son jeton W en avril 2024, distribué à environ 400 000 portefeuilles. Le rebond est spectaculaire.

Sa technologie s’est aussi diversifiée. Au-delà du pont historique, Wormhole propose désormais les Native Token Transfers, un transfert natif sans jeton enrobé, et couvre plus de 45 réseaux selon sa documentation. Pour mémoire, ce hack reste le troisième plus gros vol de bridge.

Les plus gros hacks de bridges (millions de dollars) Ronin Poly Network Wormhole 625 611 320 Source : Chainalysis, Elliptic (montants au moment des faits)

Solana s’est-il remis de cette série noire ?

Largement. En 2022, l’enchaînement des pannes et de ce hack faisait douter du statut de Solana. Pourtant, la valeur bloquée sur son réseau a depuis atteint des records, signe d’un écosystème bien vivant après ses problèmes de congestion. Le pari du « tueur d’Ethereum en déroute » s’est révélé prématuré.

Le cours du SOL reste très volatil, avec un pic au-delà de 200 $ au printemps 2026 avant un repli marqué, selon CoinGecko. Mais l’activité, elle, ne s’est jamais tarie. La résilience du réseau, illustrée jusque dans la saga de son smartphone, a démenti les oraisons funèbres de 2022.

Questions fréquentes

Combien a coûté le hack de Wormhole ?

L’attaque du 2 février 2022 a entraîné le vol de 120 000 wETH, soit environ 320 millions de dollars au cours de l’époque. C’était alors le plus gros piratage de bridge de l’histoire de la DeFi, depuis dépassé par le hack de Ronin.

Les utilisateurs de Wormhole ont-ils perdu leur argent ?

Non. Jump Crypto, propriétaire du protocole, a réinjecté 120 000 ETH de ses propres fonds en moins de 24 heures pour maintenir l’ancrage 1:1 du wETH. Les détenteurs de jetons enrobés ont ainsi été protégés, contrairement à de nombreuses autres victimes de hacks.

Le pirate de Wormhole a-t-il été arrêté ?

Non. Aucune identité n’a été confirmée publiquement. Le pirate a déplacé les fonds dès janvier 2023, et Jump a récupéré environ 140 millions de dollars par une contre-attaque on-chain. Le reste du butin demeure introuvable.

À retenir

Le hack de Wormhole de février 2022, à 320 millions de dollars, illustre à la fois la fragilité des bridges et la capacité de la DeFi à encaisser un choc majeur. Jump Crypto a renfloué le protocole en 24 heures, puis récupéré une partie des fonds, mais le pirate n’a jamais été identifié. Quatre ans plus tard, Wormhole pèse des milliards et Solana a effacé sa série noire de 2022.

Sources

Nous ajouter à vos sources préférées sur Google