197 millions de dollars partent en fumée un lundi matin. Puis, trois semaines plus tard, ils reviennent.
Le 13 mars 2023, un attaquant anonyme exploite une faille dans le moteur de liquidation d'Euler Finance, protocole de lending sur Ethereum. La mécanique est chirurgicale : via un flash loan, il manipule la logique d'emprunt pour extraire des actifs sans collatéral suffisant. En quelques transactions, il draine 92 millions en USDC, 34 millions en wETH, plus du DAI et du WBTC. Total : 197 millions de dollars. Euler suspend immédiatement dépôts et emprunts. ZachXBT poste l'alerte en temps réel, l'adresse de l'attaquant est identifiée dans l'heure.
La négociation la plus étrange de l'histoire DeFi
Ce qui suit est sans précédent. L'équipe Euler commence à écrire des messages directement dans des transactions Ethereum, visibles de tous sur la blockchain. L'attaquant répond de la même façon. Une conversation publique, gravée on-chain, entre une équipe qui supplie et un hacker anonyme qui écoute.
Pendant trois semaines, les deux parties négocient sous les yeux de toute la communauté crypto. Pas d'email, pas de Signal. Des transactions à 0 ETH avec des notes en clair. Le 3 avril 2023, l'attaquant restitue l'intégralité des fonds. Dans une note on-chain, il écrit avoir été touché par les efforts sincères de l'équipe et de la communauté.
Un dénouement qui change la lecture du hack
Ce cas reste l'un des rares hacks DeFi à se terminer par une récupération à 100%. En 2023, l'écosystème crypto perd plus de 1,7 milliard de dollars en exploits. Ronin avait perdu 625 millions sans retour. Ici, rien ne part définitivement.
Le marché encaisse l'annonce sans paniquer : le bitcoin passe de 22 183 $ la veille à 24 207 $ le jour même, et grimpe à 27 807 $ une semaine plus tard. L'incident n'entame pas le momentum haussier du printemps 2023. 🔍
Euler relance une version améliorée en mai 2023. Le hack aura duré 21 jours. Et s'il n'avait pas eu lieu, personne n'aurait jamais su que la faille existait.