TAC a publié le 21 mai un rapport d’analyse post-incident officiel concernant l’événement de sécurité du pont d’actifs TON-TAC survenu le 11 mai. La cause de la vulnérabilité réside dans l’absence de validation clé dans le logiciel du sequencer ; la perte totale s’élève à environ 2,854 millions de dollars (impliquant USDT, BLUM et tsTON). Environ 90 % des actifs volés ont été retournés vers des adresses multisig contrôlées par TAC, et la fondation TAC combleira le solde restant de 288 000 dollars.
Cause première de l’incident et détails techniques de l’attaque
D’après l’analyse post-incident officielle de TAC, la faille centrale tient au fait que le logiciel du sequencer ne vérifie pas si la valeur de hachage du code du portefeuille Jetton de l’expéditeur dans le message de pont entrant correspond au code standard d’un portefeuille Jetton. Cela signifie que tout contrat TON capable de générer un message de pont conforme au format, quel que soit son code réel ou son émetteur, est considéré comme un portefeuille Jetton légitime.
L’attaque a eu lieu aux alentours de 02:20 UTC le 11 mai 2026 : l’attaquant a déployé sur TON un portefeuille Jetton falsifié (imitant l’apparence du portefeuille USDT mais sans nécessiter de prise en charge réelle de liquidité), puis a envoyé un message de pont au contrat TAC Proxy. Le sequencer a accepté le jeton falsifié et a frappé des actifs équivalents sur TAC ; l’attaquant a ensuite ponté ces actifs frappés vers TON, libérant ainsi les actifs réellement verrouillés sur le pont TON. Les fonds ont ensuite été transférés via des infrastructures telles que LayerZero et THORChain vers plusieurs chaînes, dont Ethereum, Bitcoin, ZCash, BSC et Solana, et ont été davantage obscurcis via des protocoles de confidentialité. Après que la surveillance de sécurité en temps réel de Hypernative a détecté une divergence entre le solde TON et le solde TAC, l’équipe TAC a immédiatement arrêté le sequencer et contacté les autorités chargées de l’application de la loi, SEAL911 et des auditeurs sécurité.
Données de confirmation concernant la récupération des actifs
D’après le rapport officiel de TAC, la perte totale du protocole s’élève à environ 2,854 millions de dollars (au 12 mai 2026 à 22:00 UTC). Parmi celle-ci : USDT environ 2,434 millions de dollars, BLUM environ 403 000 dollars, et tsTON environ 18 000 dollars.
Le 14 mai, environ 90 % des actifs volés ont été retournés vers des adresses multisig contrôlées par TAC ; le montant réellement récupéré s’élève à 2,2907 millions de dollars, soit un taux de récupération efficace d’environ 80,2 % (l’écart reflète la volatilité des actifs sur le marché durant le transfert multi-chaînes, ainsi que les pertes liées aux frais et au slippage). Les 288 000 dollars restants ne peuvent pas être récupérés, y compris 13 ETH déjà transférés vers Tornado Cash, une partie des ZEC et des SOL transférés via le protocole de confidentialité Umbra.
Feuille de route de récupération et étapes ultérieures confirmées
D’après la déclaration officielle de TAC, la récupération du pont inter-chaînes nécessite de remplir deux conditions préalables : (1) le logiciel du sequencer après correction doit passer un examen indépendant mené par l’auditeur principal et des experts du écosystème TON ; (2) utiliser les actifs récupérés et les réserves de tokens de la fondation TAC pour combler entièrement le déficit de financement, afin de restaurer la liquidité transitoire.
TAC confirme que le déficit de fonds restant sera comblé par la trésorerie de la fondation ; aucun préjudice financier n’affectera les utilisateurs ni le protocole. Après la restauration, les utilisateurs n’ont rien à faire. En raison de la nécessité de coordonner avec plusieurs parties, TAC indique ne pas pouvoir fournir pour l’instant un calendrier de récupération exact ; les mises à jour seront publiées chaque semaine via le compte X officiel et le canal Telegram. TAC avertit également : tout message privé non sollicité de « récupération » ou de « soutien » est une arnaque.
Questions fréquentes
Quelle est la cause première de l’attaque du pont inter-chaînes de TAC ?
D’après l’analyse post-incident officielle de TAC, la cause première est que le logiciel du sequencer ne vérifie pas la valeur de hachage du code du portefeuille Jetton de l’expéditeur dans les messages de pont entrants. Cela permet à un attaquant de déployer un portefeuille Jetton falsifié sans nécessiter de prise en charge de liquidité réelle pour déclencher le mint de jetons sur TAC, puis d’extraire les actifs réellement verrouillés sur le pont TON.
Les utilisateurs subiront-ils une perte financière à cause de cet incident ?
D’après la déclaration officielle de TAC, le déficit d’environ 10 % des fonds restants sera comblé par la trésorerie de la fondation TAC, afin de garantir qu’aucune perte financière n’affecte les utilisateurs ni le protocole. Après la restauration, les utilisateurs n’ont rien à faire.
Quand le pont inter-chaînes reprendra-t-il son fonctionnement ?
D’après les explications officielles de TAC, la reprise nécessite d’achever deux étapes : l’audit indépendant du logiciel du sequencer corrigé et le comblement du déficit de fonds. En raison des dépendances externes, TAC ne peut pas fournir pour l’instant un calendrier exact ; les progrès seront mis à jour chaque semaine via les canaux officiels.
