Exploitation du protocole Nemo : 2,4 millions volés et la sécurité de la DeFi mise à l’épreuve

L’exploitation du protocole Nemo sur le réseau Sui illustre une nouvelle fois la vulnérabilité persistante des protocoles de finance décentralisée (DeFi). Près de 2,4 millions de dollars ont été dérobés, principalement en USDC, après que des attaquants ont découvert une faille dans les contrats intelligents de Nemo. Les fonds ont ensuite été transférés d’une blockchain à l’autre pour brouiller les pistes, passant de Sui à Arbitrum puis à Ethereum via le pont de Circle. Ce type de blanchiment inter-chaînes est devenu une marque de fabrique des attaques DeFi et complique le travail des enquêteurs qui tentent de retracer les flux financiers.

Comment les failles des contrats intelligents facilitent les attaques DeFi

Nemo est une plateforme de trading de rendement. Elle permet aux utilisateurs de déposer des actifs et de prendre position sur l’évolution des taux de prêt à la hausse ou à la baisse. Dans la DeFi, tout fonctionne via des contrats intelligents, des programmes autonomes. Cette automatisation rend le système efficace et attractif. Mais une simple erreur de code peut provoquer des pertes considérables. Dans ce cas, les contrats intelligents se sont révélés le maillon faible. Une fois la faille exploitée, l’extraction des fonds et leur dissimulation à travers différentes blockchains se sont avérées relativement simples.

L’ampleur de cette attaque est préoccupante, mais la tendance générale l’est encore davantage. Les attaques DeFi représentent déjà environ 80 % de l’ensemble des pertes crypto en 2025. Plus de 2,17 milliards de dollars ont été dérobés cette année, et chaque mois apporte son lot de nouveaux cas. Rien qu’en août, 163 millions ont été siphonnés à travers 16 attaques distinctes. L’affaire Nemo a été suivie presque immédiatement d’une exploitation de 27 millions sur Venus Protocol et d’une perte de 8,4 millions sur Bunni DEX. Plus tôt dans l’année, Cetus Protocol, également sur Sui, a perdu 260 millions. La faille de ByBit, à 1,5 milliard, reste la plus importante, mais ces attaques plus petites et répétées montrent la pression constante qui pèse sur le secteur.

Les ponts inter-chaînes, cibles privilégiées des attaques DeFi

Les ponts inter-chaînes permettent de transférer des actifs entre différentes blockchains, ce qui les rend très pratiques pour les utilisateurs. Mais parce qu’ils concentrent d’importants volumes de fonds, ils deviennent des cibles privilégiées pour les hackers. Les criminels profitent de la complexité des systèmes DeFi pour déplacer les actifs volés entre plusieurs blockchains et échapper aux poursuites. En 2022, les attaques de ponts ont représenté à elles seules 69 % des fonds volés, soit plus de 2 milliards de dollars à travers 13 incidents. L’affaire Nemo s’inscrit dans ce schéma et souligne pourquoi ces ponts constituent des cibles de grande valeur.

Lorsque Cetus a été vidé plus tôt cette année, le jeton SUI a chuté d’environ 5 %. Les pertes de Nemo sont plus limitées en comparaison, mais la répétition des incidents sur le même réseau accentue les inquiétudes. De nombreux utilisateurs répartissent désormais leurs actifs entre plusieurs protocoles ou testent avec de faibles montants, signe d’une prudence croissante.

Mesures de sécurité pour prévenir les attaques

Pour les protocoles DeFi eux-mêmes, les leçons ont été répétées à maintes reprises. Audits complets, programmes de bug bounty, déploiements progressifs et assurances contre le piratage ne sont plus des options. Pourtant, la course à l’innovation rapide et à l’acquisition d’utilisateurs relègue souvent la sécurité au second plan. Ce compromis s’avère coûteux.

Au niveau de l’industrie, la réponse progresse lentement. Des normes de sécurité renforcées sont en discussion, ainsi que des outils de surveillance en temps réel et la vérification formelle des codes. Les régulateurs suivent également la situation de plus près à mesure que les pertes s’accumulent. Chaque attaque DeFi renforce l’argument en faveur d’une surveillance accrue, et les appels à la régulation ne feront que se multiplier. Les produits d’assurance devraient aussi se développer, offrant aux utilisateurs une certaine protection, tout en contraignant les protocoles à respecter des exigences minimales de sécurité pour en bénéficier.

Trouver l’équilibre entre innovation et sécurité dans l’écosystème DeFi

La DeFi ouvre de nouvelles perspectives financières, mais la dépendance aux contrats intelligents entraîne des risques absents de la finance traditionnelle. La valeur totale verrouillée dans la DeFi reste d’environ 48 milliards de dollars, preuve de la forte demande pour ces produits. Mais la sécurité continue de prendre du retard sur l’innovation. Cela confirme que l’industrie doit ralentir, placer la sécurité au premier plan et regagner la confiance des utilisateurs. L’innovation ne peut pas dépasser la confiance. Sans bases plus solides, la question n’est pas de savoir si une nouvelle attaque aura lieu, mais quand.