Le 6 novembre 2017, un utilisateur GitHub anonyme baptisé devops199 exécute la fonction kill() sur le contrat library de Parity Wallet et fige instantanément 513 774,16 ETH répartis dans 587 portefeuilles multisig (Parity Technologies, 2017). À l’époque, la perte est chiffrée à 150 millions de dollars. Au cours de mai 2026, cette même somme représente près de 2 milliards de dollars, ce qui en fait la plus grosse perte d’ETH de l’histoire jamais récupérée. Neuf ans plus tard, les fonds restent intouchables sur la blockchain, deux EIP de récupération ont été refusés par la communauté et Polkadot, principal lésé, a finalement levé via une vente DOT distincte.

Au programme

  • 513 774 ETH gelés le 6 novembre 2017 par un appel kill() sur la library Parity (Parity Technologies, 2017)
  • Polkadot, Edgeless, Iconomi parmi les wallets impactés, dont 306 276 ETH du Web3 Foundation
  • EIP-156 et EIP-867 refusés par la communauté Ethereum, fonds définitivement gelés en 2026

Données arrêtées au 8 mai 2026. Le statut on-chain des 587 wallets reste inchangé depuis novembre 2017 (Etherscan, 2026).

Quel bug a permis de geler 513 000 ETH sur Parity ?

Le 6 novembre 2017 à 13h33 (heure de Paris), devops199 appelle la fonction initWallet() de la library Parity Wallet, en devient propriétaire, puis exécute kill() qui détruit le contrat via l’opcode selfdestruct (Parity Technologies, 2017). Tous les wallets multisig créés après le 20 juillet 2017 dépendaient de ce contrat unique pour exécuter leurs transactions. Sans library, les wallets deviennent des coquilles vides, incapables de signer la moindre sortie.

L’erreur de design est double. Premièrement, la library partageait son code avec les wallets-clients via un delegatecall, ce qui exposait ses fonctions critiques à n’importe quel appelant. Deuxièmement, le constructeur d’initialisation initWallet() n’avait jamais été appelé sur la library elle-même après son déploiement post-piratage juillet 2017. Cette ouverture a permis à devops199 de réclamer la propriété, puis d’invoquer kill() sans passer par les multi-signatures normales.

devops199 n’a jamais été identifié et a déclaré sur GitHub que le déclenchement était accidentel. Aucune adresse à tirer de bénéfice : la fonction kill() ne transfère pas les fonds, elle détruit le code. Les 513 774 ETH ne sont pas volés, ils sont techniquement orphelins, accessibles uniquement par un contrat de logique qui n’existe plus.

La distinction avec le hack juillet 2017

Quatre mois plus tôt, le 19 juillet 2017, un attaquant exploitait une autre vulnérabilité Parity et dérobait 153 037 ETH (~30 millions de dollars à l’époque) sur trois wallets de projets ICO (CoinDesk, 2017). Parity avait alors déployé une nouvelle library, celle-là même qui sera tuée 4 mois plus tard. Le correctif a créé une faille pire que la faille initiale.

Quels portefeuilles ont été affectés par le freeze Parity ?

Sur les 587 wallets gelés, la majorité du capital appartient à 3 entités : la Web3 Foundation (306 276 ETH), Edgeless Casino (et son token EDG), et Iconomi, plateforme suisse de gestion crypto (The Block Research, 2018). Le solde restant est éparpillé sur des dizaines de petits projets ICO et des particuliers ayant utilisé l’interface multisig de Parity entre juillet et novembre 2017.

Entité affectée ETH gelés Valeur 2017 (USD) Valeur mai 2026 (USD)
Web3 Foundation (Polkadot) 306 276 ~92 M$ ~1,19 Md$
Edgeless Casino ~30 000 ~9 M$ ~117 M$
Iconomi ~25 000 ~7,5 M$ ~97 M$
Ethercamp Hackathon ~16 800 ~5 M$ ~65 M$
Autres projets et particuliers (583 wallets) ~135 700 ~36 M$ ~530 M$
Total 513 774 ~150 M$ ~1,98 Md$

La Web3 Foundation est la grande perdante. Elle hébergeait dans ce wallet le produit de l’ICO Polkadot (DOT) terminée seulement quelques jours avant le freeze. Plutôt que d’attendre une recovery hypothétique, Gavin Wood et l’équipe Polkadot relancent une seconde vente DOT en 2019 et 2020 pour reconstituer la trésorerie de développement.

Coïncidences notables

Aave, alors connu sous le nom ETHLend, levait des fonds via son ICO en novembre 2017. Stani Kulechov n’avait pas utilisé l’infrastructure multisig Parity pour stocker les fonds levés. Le projet est passé entre les gouttes et a pu déployer son protocole l’année suivante. À l’inverse, plusieurs ICO de moindre notoriété ont vu leur trésorerie de développement disparaître en l’espace de quelques minutes.

Pourquoi les EIP-156 et EIP-867 ont-ils été refusés ?

L’EIP-156 proposé par Vitalik Buterin et l’EIP-867 (Standardized Ethereum Recovery Proposals) prévoyaient un mécanisme de fork pour libérer les fonds gelés, mais les deux ont été retirés face à l’opposition massive de la communauté (ethresear.ch, 2018). L’argument central : un fork de récupération ouvrirait la porte à des demandes répétées et créerait un précédent dans lequel les développeurs négligents seraient renfloués par le réseau.

L’EIP-156 (GitHub Ethereum EIPs, 2017) ciblait une catégorie générique de fonds bloqués (transactions envoyées à mauvaise adresse, contrats détruits avec ETH dedans), pas seulement Parity. Vitalik la décrit lui-même comme un patchwork peu satisfaisant. La discussion s’enlise au printemps 2018.

L’EIP-867 (GitHub Ethereum EIPs, 2018) est plus radicale. Portée par l’écosystème Polkadot, elle propose un cadre de récupération standard activable par hard fork à chaque cas avéré. Le débat sur ethresear.ch tourne court : la communauté refuse l’idée d’un mécanisme institutionnalisé qui viderait l’argument “code is law” de son sens.

“Code is law” contre fork DAO 2016 : la cohérence en débat

L’opposition au fork Parity surprend si on la compare à l’épisode DAO de juillet 2016, où Ethereum avait fait un hard fork pour récupérer 3,6 millions d’ETH volés. La communauté a tranché : le fork DAO n’a sauvé que des utilisateurs victimes d’une attaque, le fork Parity sauverait des développeurs auteurs d’un bug. La nuance morale a tenu, et un retour sur cet épisode est documenté dans notre analyse du hack The DAO.

Cette ligne de partage a un coût : les 513 000 ETH restent gelés et la communauté assume publiquement ce choix comme une preuve de maturité. Cinq ans après, en 2022, Polkadot a cessé toute campagne formelle de récupération.

Quel est le statut des 513 000 ETH en 2026 ?

Au 8 mai 2026, les 587 wallets multisig Parity restent intouchables sur Ethereum mainnet. Aucun mouvement on-chain depuis le 6 novembre 2017, et aucune EIP active de recovery dans la roadmap Ethereum (Etherscan, 2026). La library tuée demeure visible à l’adresse 0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4 sans bytecode actif. Les 513 774 ETH sont considérés comme perdus permanents par la quasi-totalité des analystes on-chain.

Timeline Parity Multisig 2017-2026 Chronologie des événements du freeze Parity, du premier hack juillet 2017 au statut perte permanente en mai 2026. Parity Multisig : chronologie 2017-2026 19 juil. 2017 1er hack Parity 153k ETH volés 6 nov. 2017 devops199 kill() 513k ETH gelés Avril 2018 EIP-867 retiré après débat 2019-2020 Polkadot relance 2e vente DOT 2022 Plus aucune EIP recovery active Mai 2026 513k ETH ~1,98 Md$ perdus Source : Parity Technologies post-mortem, Etherscan, ethresear.ch (mai 2026).

À l’ETH à 3 900 dollars en mai 2026, la valeur théorique des fonds gelés dépasse 1,98 milliard de dollars. Cela représente, à titre de comparaison, environ 0,02 % du total ETH supply, mais surtout la plus grande perte d’actif crypto unique qu’aucune action ne peut renverser. Pour mettre en perspective d’autres pertes historiques, voir notre dossier sur les bitcoins perdus depuis 5 ans.

Pourquoi rouvrir le débat est désormais peu probable

Le hard fork DAO de 2016 a été l’unique précédent. Depuis 2018, la communauté refuse systématiquement toute logique de recovery, y compris pour des hacks beaucoup plus médiatisés que Parity (Wormhole 320 M$, Ronin 625 M$, Nomad 190 M$). La doctrine est stable : un fonds perdu reste perdu, c’est le coût social de l’immutabilité. Pour la liste complète des plus gros incidents, voir notre classement des plus gros hacks crypto.

Quelles leçons retenir pour les multisig et libraries en 2026 ?

Les standards de sécurité des wallets multisig ont évolué massivement depuis 2017 : Safe (ex-Gnosis Safe) sécurise plus de 100 milliards de dollars en 2026 sans incident majeur, et le pattern library partagée avec delegatecall a été abandonné au profit d’implémentations isolées par wallet (CoinDesk, 2017). Trois leçons structurelles ont émergé du désastre Parity.

1. Pas de library partagée mutable sur des fonds critiques. Le pattern delegatecall vers un contrat externe propriétaire reste dangereux quand ce contrat peut être détruit. Les implémentations modernes utilisent soit des proxys upgradables avec gouvernance multi-clés, soit des immutables purs sans selfdestruct.

2. Audits formels obligatoires avant production. En 2017, Parity Wallet n’avait pas reçu d’audit externe formel après le patch de juillet. Aujourd’hui, OpenZeppelin, Trail of Bits et CertiK auditent toute infrastructure avant déploiement avec des fonds, et la pratique d’audit est documentée dans nos comparatifs wallets crypto.

3. L’opcode selfdestruct est en voie de retrait. L’EIP-6049 (déprécié SELFDESTRUCT) puis l’EIP-6780 ont quasi-vidé l’opcode de sa fonctionnalité depuis le hard fork Cancun de mars 2024. Un kill() à la Parity est désormais impossible sur la majorité des contrats post-2024. Le freeze Parity restera l’archétype d’une vulnérabilité dont les conditions techniques ne sont plus réunissables.

Questions fréquentes

Combien d’ETH ont été gelés dans le bug Parity Multisig ?

513 774,16 ETH répartis dans 587 wallets multisig ont été gelés le 6 novembre 2017 (Parity Technologies, 2017). À l’époque, le montant représentait environ 150 millions de dollars. À l’ETH à 3 900 $ en mai 2026, ces fonds vaudraient près de 1,98 milliard de dollars. La valeur théorique a été multipliée par 13 sans qu’aucune transaction ne puisse les déplacer.

Qui est devops199, l’utilisateur qui a déclenché le freeze Parity ?

devops199 est un compte GitHub qui a publiquement reconnu avoir appelé kill() sur la library Parity, en se présentant comme un développeur amateur qui explorait le code. Son identité réelle n’a jamais été confirmée publiquement (Parity Technologies, 2017). Aucune action en justice n’a été engagée, le code restant légal à exécuter. Le compte a depuis disparu de GitHub.

Pourquoi la communauté Ethereum a-t-elle refusé un fork pour Parity alors qu’elle avait fait le DAO ?

Le fork DAO de 2016 sauvait des utilisateurs victimes d’une attaque malicieuse, alors que le fork Parity sauverait des développeurs auteurs d’un bug accidentel (ethresear.ch, 2018). La distinction morale a tenu lors du débat sur l’EIP-867 en 2018, et la doctrine “code is law” a été affirmée comme principe fondateur du réseau pour tous les cas d’erreurs hors attaque externe.

Polkadot a-t-il pu se relancer après la perte de 306 000 ETH ?

Oui. La Web3 Foundation a organisé une seconde vente DOT en 2019 puis 2020 pour reconstituer la trésorerie. Le projet a lancé son mainnet en mai 2020 et figure aujourd’hui dans le top 25 crypto par capitalisation. Les 306 276 ETH initiaux restent gelés sur Ethereum, mais Polkadot fonctionne sur sa propre chaîne avec un financement reconstitué de plus de 200 millions de dollars cumulés.

Les 513 000 ETH peuvent-ils encore être récupérés en 2026 ?

Techniquement non, sauf hard fork de récupération. La communauté Ethereum n’a montré aucune intention d’en organiser un depuis 2018, y compris pour des incidents postérieurs plus graves (Wormhole, Ronin). L’EIP-6780 limite désormais le selfdestruct (EIP-867 GitHub, 2018), mais ne ressuscite pas les contrats déjà tués. Considérer ces fonds comme perdus permanents est la lecture consensus 2026.

À retenir

Le freeze Parity du 6 novembre 2017 reste la plus grande perte d’ETH unique de l’histoire : 513 774 ETH valant 1,98 milliard de dollars en mai 2026, gelés par un bug de library tuée. Les EIP-156 et EIP-867 ont été retirés sous pression communautaire et l’opcode selfdestruct est en voie de retrait via Cancun. Pour aller plus loin, consultez notre rétrospective sur Ethereum 2020 et le hub Hacks & Sécurité.

Sources

Nous ajouter à vos sources préférées sur Google