Le token GUA de Superfortune, projet incubé par Manta Network, a chuté de 74 à 76 % en l’espace de quelques heures le 27 mai 2026. Un attaquant a redirigé 14,98 millions de GUA (valeur d’environ 15,18 millions de dollars au moment de l’exploit) vers sa propre adresse lors d’une transaction multisig, avant de tout liquider sur le marché.

En bref

L’incident repose sur une substitution d’adresse dans une transaction multisig destinée à libérer des tokens pour le contrat d’airdrop. L’équipe Superfortune a confirmé l’attaque et évoque une possible technique d’address poisoning, sans l’avoir encore formellement établie. Les fonds convertis - soit 2 784 ETH, environ 566 000 dollars - sont répartis sur 3 wallets distincts.

Comment l’exploit multisig a-t-il fonctionné ?

L’attaque cible le mécanisme de déblocage de tokens prévu pour alimenter le contrat d’airdrop. Lors d’une transaction multisig, l’adresse de destination a été remplacée par celle de l’attaquant. Selon les éléments disponibles, l’adresse frauduleuse partageait les 4 premiers et 4 derniers caractères avec l’adresse légitime, signature classique d’une attaque par address poisoning.

L’équipe Superfortune tempère toutefois cette hypothèse : l’adresse de l’attaquant n’avait jamais interagi avec les contrats du projet auparavant. Or une attaque par empoisonnement d’adresse implique généralement des interactions préalables pour “polluer” l’historique de transactions. Le mécanisme exact reste sous investigation, ce qui rend le vecteur d’attaque partiellement incertain à ce stade.

Ce type d’exploit sur les transactions multisig n’est pas sans précédents. Le hack Kelp DAO qui avait paralysé Aave et englouti 6,6 milliards de dollars de TVL reposait sur une logique similaire : compromettre un message cross-chain pour détourner les fonds avant leur destination légitime.

Quelles sont les conséquences sur le token GUA ?

Les 14,98 millions de GUA déversés sur le marché en quelques heures ont provoqué un effondrement mécanique du cours. Selon les données CoinGecko citées dans le rapport initial, le token cotait 0,3378 dollar après la vente massive, soit une perte de 74 % sur 24 heures. L’analyste on-chain Yu Jian, relayé par PANews, évoque de son côté une chute de 76 %, les deux chiffres divergeant légèrement selon le moment de la capture.

La capitalisation en circulation est tombée à environ 14,15 millions de dollars. Les 2 784 ETH récupérés par l’attaquant représentent environ 566 000 dollars, soit un ratio de récupération bien inférieur à la valeur initiale des tokens : la vente précipitée a fait s’effondrer le prix avant que l’ensemble des GUA ne soit écoulé.

Ce type de liquidation instantanée rappelle la mécanique du hack BitMart, où 200 millions de dollars de tokens avaient été dérobés puis vendus sur les marchés secondaires en quelques heures, dans l’impossibilité pour le projet de réagir assez vite.

Pourquoi ce hack interroge la sécurité des projets incubés ?

Superfortune est un projet lancé sous l’égide de Manta Network, blockchain L2 orientée privacy. L’association à un écosystème établi n’a pas suffi à prévenir l’incident. L’équipe indique que ses processus internes comprenaient des vérifications multiples de l’adresse de destination, sans que cela empêche la substitution.

Ce point soulève une question structurelle : les schémas de validation multisig restent vulnérables dès lors que l’interface de signature affiche une adresse et que l’utilisateur signe sans vérification indépendante du bytecode sous-jacent. Le hack de la plateforme PancakeSwap et plusieurs incidents récents sur des protocoles en phase de lancement - comme ce protocole DeFi liquidé aussitôt après son lancement - illustrent cette fragilité des projets jeunes sur les mécanismes de gestion des droits d’administration.

La communauté crypto observe désormais si Manta Network prendra position publiquement sur l’incident et si un plan de compensation pour les holders de GUA sera envisagé.

Mise en perspective Un exploit à 15 millions de dollars sur un token incubé par un L2 reconnu pointe une lacune persistante : la vérification de l’adresse de destination dans les flux multisig reste le maillon faible. Tant que les interfaces de signature n’affichent pas le bytecode lisible en clair, la substitution d’adresse restera un vecteur d’attaque à faible coût et à fort impact.

À retenir

L’exploit Superfortune illustre la persistance des attaques par manipulation d’adresse dans les transactions multisig, même sur des projets bénéficiant d’un écosystème structuré. La technique exacte reste à confirmer. Les holders de GUA et l’équipe Manta sont à surveiller dans les prochaines heures pour un éventuel plan de remédiation.

Sources

Signal Baissier
Impact Majeur
Nous ajouter à vos sources préférées sur Google