Echo Protocol : 76 millions sur le papier, 816 000 $ volés en vrai
76,7 millions de dollars. C'est le chiffre qui a circulé partout le 18 mai, transformant le hack d'Echo Protocol en catastrophe médiatique. La réalité ? 816 000 dollars effectivement sortis. L'écart entre ces deux montants n'est pas un détail comptable : c'est précisément le cœur du sujet, et il révèle quelque chose de fondamental sur l'état de la sécurité en DeFi en 2026.
Ce qui s'est passé, sans détour
Echo Protocol est un projet BTCFi — comprenez : vous déposez du Bitcoin, vous récupérez un token enveloppé et porteur de rendement, utilisable dans l'écosystème DeFi. Le protocole tourne principalement sur Aptos, où son token aBTC a culminé à 878 millions de dollars de TVL en mai 2025. L'expansion vers Monad, l'une des chaînes EVM parallélisées les plus suivies du moment, a produit une version distincte du token : eBTC. Ces deux actifs ne sont pas pontables, ils sont complètement séparés. Cette précision est importante : le hack n'a touché que le déploiement Monad.
L'attaquant n'a pas trouvé un bug dans le smart contract d'Echo. Il a mis la main sur une clé d'administration. Cette clé contrôlait les droits de frappe du token eBTC. Avec elle, il a créé 1 000 eBTC de toutes pièces, non adossés à un seul satoshi de Bitcoin réel. Sur le papier, au cours du moment, cela représentait 76,7 millions de dollars.
Mais frapper des tokens fantômes ne vous enrichit pas si personne ne vous en donne quelque chose en échange. C'est là que Curvance entre dans l'histoire. L'attaquant a déposé 45 faux eBTC comme garantie dans l'application de prêt de Curvance, qui les a acceptés comme des collatéraux parfaitement valides — sans sourciller. En échange, il a emprunté de vrais WBTC, les a pontés vers Ethereum, swappés contre de l'ETH, puis fait transiter le tout par Tornado Cash. Les 955 eBTC restants n'ont jamais pu être monétisés faute de liquidités suffisantes sur Monad. Echo a ensuite brûlé ces tokens résiduels et mis en pause les fonctions concernées. Monad lui-même n'a à aucun moment été compromis — le cofondateur Keone HD l'a confirmé publiquement.
Un symptôme parmi d'autres d'une épidémie systémique
Ce hack isolé ne serait qu'une anecdote si le contexte général n'était pas aussi préoccupant. Les pertes DeFi en 2026 ont dépassé le milliard de dollars en quatre mois. Le mois d'avril seul a drainé 634 millions de dollars sur plus de 28 incidents — le pire mois jamais enregistré. Drift (285 millions) et KelpDAO (292 millions, dont 30 766 ETH gelés dans une affaire judiciaire rocambolesque) représentent à eux seuls 577 millions de dollars de ces pertes d'avril. Dans les deux cas, comme pour Echo, il ne s'agissait pas d'exploits de code.
Les données de DefiLlama pour 2026 sont éloquentes : les exploits de pont LayerZero représentent 18% des pertes, les clés d'administration compromises 16%, les tokens usurpés 14%, les compromissions de clés privées 11%. Ensemble, les défaillances opérationnelles et de gestion des accès constituent la majorité de la valeur volée cette année. Les bugs de smart contracts classiques — réentrance, manipulation d'oracle — sont devenus marginaux.
L'incident StablR, survenu dans la même période, confirme la tendance avec une brutalité similaire. Un attaquant a compromis une clé privée d'un multisig sécurisé par un seuil ridicule de 1 signature sur 3, créé 13,5 millions de dollars de stablecoins non garantis, provoqué un décrochage de 25,68% sur l'EURR et 36,45% sur l'USDR, et est reparti avec environ 2,8 millions de dollars de profits nets après glissement — tout en détruisant au passage 2,7 millions d'EURR appartenant à des contreparties légitimes. Même mécanique, même négligence, mêmes dégâts collatéraux.
La vraie question : pourquoi des protections aussi basiques manquent encore ?
Le plus troublant dans le cas Echo, c'est que l'attaquant a partiellement échoué par accident. Si la liquidité sur Monad avait été suffisante, il aurait pu convertir beaucoup plus que 45 eBTC en valeur réelle. Le protocole a eu de la chance — une chance que la discipline opérationnelle aurait rendue inutile.
Les contre-mesures qui auraient stoppé ou limité l'attaque sont connues, documentées, implémentées dans des dizaines d'autres protocoles : contrôle administratif multisig pour ne pas laisser une seule clé avoir des droits de frappe illimités, timelocks pour bloquer les actions sensibles pendant une période d'observation, mint caps pour limiter les volumes créables en une transaction, rate limits pour ralentir les frappes anormales, et des vérifications de collatéral côté Curvance pour détecter qu'un actif vient d'être créé de toutes pièces quelques minutes plus tôt.
Curvance porte une responsabilité dans l'affaire. Accepter comme garantie un token dont la supply vient d'exploser en quelques blocs sans déclencher la moindre alerte, c'est une défaillance de conception du système de gestion des risques, pas une fatalité. Dans l'écosystème DeFi, la composabilité entre protocoles est une force — mais elle devient un vecteur d'amplification quand chaque brique fait confiance aveuglément aux données que lui fournissent les autres.
Le secteur est en train de vivre une transition que peu d'acteurs ont encore pleinement intégrée : l'ère des exploits de code cède la place à l'ère des compromissions d'infrastructure humaine. Les audits de smart contracts restent nécessaires, mais ils ne protègent pas contre une clé privée stockée sur un Slack ou un laptop mal sécurisé. La prochaine fois que vous lisez un titre annonçant un "hack à X millions", la première question à poser est désormais systématique : c'était du code, ou c'était une clé ?
