Transit Finance a subi un exploit le 13 mai 2026 : environ 1,88 million de dollars ont été dérobés via une vulnérabilité dans un contrat intelligent déployé sur TRON en 2022 et officiellement abandonné depuis. Selon PeckShield, qui a alerté en premier, les fonds volés sont actuellement immobilisés sous forme de DAI à l’adresse 0x8a63…8abA5.
Comment l’attaquant a-t-il exploité un contrat vieux de 4 ans ?
Le protocole d’agrégation cross-chain Transit Finance a confirmé l’incident dans une déclaration publique. L’attaque ne ciblait pas les contrats en production actuels, opérationnels depuis plus de 4 ans sans incident, mais une version ancienne déployée sur TRON et mise hors service depuis 2022.
Ce type de vecteur est rare mais redoutable. Un contrat abandonné reste actif sur la blockchain tant qu’il n’est pas formellement neutralisé, ses fonds ou ses autorisations restant potentiellement accessibles. L’équipe indique avoir détecté l’attaque rapidement, isolé le problème et finalisé un audit correctif le 12 mai, soit la veille de la divulgation publique.
« Le présent événement concerne un ancien contrat déployé sur TRON depuis 2022, désormais abandonné. La vulnérabilité historique a été récemment exploitée et n’affecte qu’un nombre limité d’utilisateurs. »
- Transit Finance, 13 mai 2026
Quels utilisateurs sont touchés et quelle compensation ?
Transit Finance précise que seuls des utilisateurs ayant interagi avec l’ancienne version du contrat TRON sont exposés. L’étendue exacte reste à définir, mais l’équipe s’est engagée à rembourser intégralement les victimes. Aucun chiffre sur le nombre de portefeuilles affectés n’a encore été communiqué.
Les 1,88 million de dollars convertis en DAI restent traçables on-chain, ce qui constitue un avantage pour toute tentative de récupération ou de négociation, une pratique de plus en plus courante dans les affaires de ce type. Ce cas rappelle le hack de Vee Finance en 2021, où 35 millions de dollars avaient été dérobés sur Avalanche, là aussi via une faille dans la logique contractuelle.
L’histoire de Transit Finance n’est pas sans précédent : le protocole avait déjà subi un exploit majeur en 2022, également signalé par PeckShield à l’époque. La répétition de problèmes liés à des contrats hérités soulève des questions sur les pratiques de décommissionnement dans l’écosystème DeFi.
Pourquoi les vieux contrats restent-ils une menace persistante ?
Les contrats déployés sur des blockchains publiques comme TRON ou Ethereum sont immuables par nature. Même abandonnés, ils conservent toute autorisation d’accès accordée par les utilisateurs. Un portefeuille ayant approuvé un contrat en 2022 peut rester vulnérable des années plus tard si l’approbation n’a pas été révoquée manuellement.
Ce phénomène est documenté dans plusieurs incidents de 2024-2026. Des plateformes comme BitMart avaient perdu 200 millions de dollars en 2021 via des vecteurs différents, mais le principe de surface d’attaque résiduelle reste le même : chaque contrat déployé, même inactif, représente un risque potentiel. Les audits de sécurité périodiques couvrent rarement les contrats mis hors service, et les utilisateurs ne pensent pas à révoquer des permissions sur des protocoles qu’ils n’utilisent plus.
Lecture CryptoActu L’incident Transit Finance illustre un angle mort systémique de la DeFi : la gestion du cycle de vie des contrats. Déployer un correctif ne suffit pas si les anciennes versions restent actives sur la blockchain. La bonne pratique, encore peu répandue, consiste à vider et bloquer explicitement les contrats abandonnés dès leur décommissionnement. Sans cela, chaque ancienne version devient une bombe à retardement dont seul le timing varie.
Et pour la France ?
Transit Finance opère principalement sur des marchés asiatiques et ses contrats ne sont pas distribués via des PSAN agréés en France. Toutefois, tout utilisateur français ayant interagi avec le protocole avant 2023 devrait vérifier et révoquer les autorisations accordées aux anciens contrats. L’AMF rappelle régulièrement que les protocoles DeFi non enregistrés ne bénéficient d’aucune protection réglementaire pour les résidents français.
À retenir
Transit Finance a été victime d’un exploit ciblant un contrat TRON vieux de 4 ans, pour 1,88 million de dollars en DAI. La compensation intégrale est promise. À surveiller : la publication des détails techniques sur le vecteur exact d’exploitation, et l’évolution de la liste des adresses affectées.
Sources
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash