Compass Investments

Le protocole privé Foom.Cash a perdu environ 2,26 millions de dollars après qu’un attaquant ait fabriqué des preuves zkSNARK à la suite de paramètres de vérificateur incorrects.

L’exploit a affecté les contrats intelligents sur les réseaux Ethereum et Base, réduisant à zéro 24,28 trillions de jetons FOOM, dont environ 427 000 dollars ont été obtenus de manière inappropriée et environ 1,83 million de dollars sont dus aux actions de pirates blancs.

Les organisations de cybersécurité ont découvert que l’origine du problème était une mauvaise configuration du système de vérification Groth16, qui permettait des retraits multiples.

Foom.Cash, une fourchette de confidentialité sur la blockchain Ethereum qui se positionne comme une version améliorée du mélangeur Tornado Cash sous-sanctionné, aurait perdu environ 2,26 millions de dollars en jetons en raison d’une vulnérabilité dans son système de vérification des crypto-monnaies, à propos de laquelle plusieurs agences d’analyse ont lancé des avertissements.

L’attaque, qui a touché des contrats en Ethereum et en Base, a entraîné la perte de 24 283 773 519 600 jetons FOOM, le principal actif de la plateforme. Les chercheurs en sécurité ont noté que l’exploit est presque exactement le même qu’une vulnérabilité découverte sur un autre protocole quelques jours plus tôt.

Une seule transaction sur le réseau Base a entraîné une perte d’environ 427 000 dollars, attribuée à l’exploiteur direct. Les transactions sur Ethereum, d’une valeur d’environ 1,83 million de dollars, semblent faire partie d’une opération de sauvetage de type white-hat.

Comment la faille s’est-elle produite ?

GoPlus Security, un réseau de sécurité Web3 supervisé par BinanceLabs, a documenté l’incident, indiquant qu’une inexactitude dans les paramètres de la clé de vérification a permis à un fraudeur de falsifier les enregistrements de vérification zkSNARK. Cela lui a permis de fabriquer des références cryptographiques acceptées par le protocole comme étant légitimes, et de retirer ainsi une quantité importante de jetons des contrats compromis.

Certik, une entreprise spécialisée dans la sécurité de la blockchain, a écrit sur son compte X :

La raison principale réside probablement dans le paramètre delta2==gamma2 pour le vérificateur Groth16 à 0xc043865fb4D542E2bc5ed5Ed9A2F0939965671A6. Cela permet à l’exploiteur de calculer le pC requis pour différents nullifierHash tout en gardant toutes les autres entrées inchangées, ce qui permet d’obtenir plusieurs jetons ZOOM.

En d’autres termes, un protocole qui prône activement la quasi-imprenabilité de ses barrières cryptographiques a été compromis à la suite d’une erreur de configuration.

Le système de surveillance Phalcon de BlockSec, qui a contrôlé en temps réel les activités suspectes sur les deux réseaux, a indiqué que l’incident ressemblait à une attaque répétée. La société a souligné qu’elle était basée sur la même cause fondamentale identifiée dans le récent piratage de Veil Cash.

Il convient de noter que l’incident de Veil Cash était de moindre ampleur, avec des pertes totalisant une petite quantité d’ETH, vraisemblablement 2,9 ETH.

Qu’est-ce que Foom.Cash ?

Foom.Cash se positionne comme un protocole de loterie privée basé sur ZKProof qui combine l’anonymat de Zcash (qui fonctionne comme une blockchain privée séparée), la fonctionnalité DeFi de l’écosystème Ethereum et un mécanisme de récompense aléatoire intégré.

Il a été qualifié d’amélioration de Tornado Cash et d’alternative à Zcash pour le réseau Ethereum. Tornado Cash a été sanctionné par le département du Trésor américain en 2022, mais en mars 2025, l’agence a levé les restrictions sur la plateforme.

Selon les représentants du projet, ils traitent plus de transactions quotidiennes que Tornado Cash, ont une liquidité de plus de huit millions de dollars et fournissent aux fournisseurs de liquidités des rendements annuels de 50 à 80 % .

Le thème de la protection de la vie privée dans les DeFi gagne à nouveau en popularité : Zcash a connu une forte augmentation de valeur au cours des derniers mois, et Foom.Cash a tenté de tirer parti de cette tendance en offrant l’anonymat au sein de l’infrastructure Ethereum existante.

La plateforme s’appuie sur une modification spécifique des zkSNARKs, un composant clé qui assure la confidentialité dans des protocoles reconnus tels que Zcash.

Quelles sont les mesures prises par Foom.Cash pour récupérer les fonds et éliminer la vulnérabilité ?