Le Protocole : Une faille pouvant vider tous vos jetons impactant « des milliers » de sites

Bienvenue dans The Protocol, le résumé hebdomadaire de CoinDesk des histoires les plus importantes dans le développement technologique des cryptomonnaies. Je suis Margaux Nijkerk, journaliste chez CoinDesk.

Dans ce numéro :

• Un nouveau bug de React pouvant vider tous vos jetons impacte « des milliers » de sites web
• Ripple étend son stablecoin RLUSD de 1,3 milliard de dollars aux L2 Ethereum via Wormhole dans une démarche multichaîne
• Aave DAO recule alors que les frais d'interface s'éloignent du Trésor
• Le projet NFT Pudgy Penguins investit la Sphère de Las Vegas dans une campagne de fin d'année

Actualités du Réseau

UN BUG QUI POURRAIT VIDANGER LE PORTEFEUILLE AFFECTE DES MILLIERS DE SITES WEB : Un vulnérabilité critique dans React Server Components est activement exploité par plusieurs groupes de menaces, mettant des milliers de sites web — y compris des plateformes crypto — en risque immédiat, les utilisateurs pouvant potentiellement voir tous leurs actifs drainés, en cas d'impact. La faille, répertoriée sous le code CVE-2025-55182 et surnommée React2Shell, permet aux attaquants d'exécuter du code à distance sur les serveurs affectés sans authentification. Les mainteneurs de React ont dévoilé le problème le 3 décembre et lui ont attribué la note de gravité la plus élevée. Peu après cette divulgation, GTIG a observé une exploitation généralisée par des criminels motivés financièrement ainsi que par des groupes de hackers soupçonnés d’être soutenus par des États, ciblant des applications React et Next.js non corrigées dans des environnements cloud. Les React Server Components sont utilisés pour exécuter des parties d’une application web directement sur un serveur, plutôt que dans le navigateur de l’utilisateur. La vulnérabilité provient de la façon dont React décode les requêtes entrantes vers ces fonctions côté serveur. En termes simples, les attaquants peuvent envoyer une requête web spécialement conçue qui trompe le serveur et le force à exécuter des commandes arbitraires, ce qui revient à céder le contrôle du système à l’attaquant. Le bug affecte les versions 19.0 à 19.2.0 de React, y compris les packages utilisés par des frameworks populaires comme Next.js. Le simple fait d’avoir les packages vulnérables installés est souvent suffisant pour permettre une exploitation.— Shaurya Malwa En savoir plus.

RIPPLE ARRIVE SUR LES L2 D’ETH : Ripple, la société blockchain axée sur les paiements et étroitement liée au XRP Ledger (XRP), étend son stablecoin adossé au dollar américain aux blockchains de couche 2 (L2) d'Ethereum, notamment Optimism, Base de Coinbase, Ink de Kraken et Unichain d'Uniswap, dans une démarche visant à intégrer plus profondément ce jeton d'une valeur de 1,3 milliard de dollars dans l'écosystème multichaîne. La société a indiqué qu'elle débutait par une phase de test avant un déploiement plus large prévu pour l'année prochaine, sous réserve de l'approbation réglementaire du Département des services financiers de New York (NYDFS). Le projet pilote intègre la norme Native Token Transfers (NTT) de Wormhole, qui permet à RLUSD de circuler nativement entre les chaînes sans recours au wrapping ou à des actifs synthétiques. Cela contribue à maintenir la liquidité et le contrôle réglementaire tout en soutenant une gamme de cas d'utilisation de la finance décentralisée (DeFi) à travers des réseaux optimisés pour la rapidité et la réduction des coûts. Les stablecoins connaissent une croissance rapide en tant que composante clé de l'infrastructure financière numérique reliant la finance traditionnelle à l'économie crypto. Ils représentent une classe de cryptomonnaies de 300 milliards de dollars, avec des prix indexés sur des monnaies fiat telles que le dollar américain. — Krisztian Sandor En savoir plus.

LE DÉBAT SUR L'INTERFACE DU PROTOCOLE AAVE S'INTENSIFIE : Un débat au sein de la DAO d’Aave soulève des questions sur qui contrôle l’interface du protocole et qui en tire des bénéfices financiers. Le problème est apparu après qu’Aave Labs ait intégré plus tôt ce mois-ci l’agrégateur d’échanges décentralisés CoWSwap dans l’interface app.aave.com, remplaçant le routage Paraswap utilisé auparavant pour les échanges de collatéraux. Bien que ce changement ait été présenté comme une amélioration de l’expérience utilisateur offrant une meilleure exécution et une protection contre le MEV, les délégués ont ensuite signalé que les frais liés aux échanges ne revenaient plus au trésor de la DAO Aave. Un lettre ouverte de l'intermédiaire Orbit EzR3aL a soutenu que l'intégration a introduit des frais frontaux d'environ 15 à 25 points de base qui reviennent à un bénéficiaire externe plutôt qu'à la DAO. Les données en chaîne citées dans le message montraient des distributions hebdomadaires d'ether liées au mécanisme de frais partenaires de CoWSwap à travers plusieurs réseaux, pouvant représenter des millions de dollars annuellement. Ce surplus a depuis diminué avec le passage au modèle de vente aux enchères groupées de CoWSwap, qui privilégie la certitude d'exécution plutôt que l'amélioration du prix. Mais au cœur du débat se trouve une distinction qu'Aave Labs affirme avoir toujours existé : le protocole contre le produit. Dans un réponse au forum, Aave Labs a déclaré que l'interface est exploitée, financée et maintenue de manière indépendante du protocole gouverné par la DAO. Dans ce modèle, la DAO contrôle les paramètres on-chain, les taux d'intérêt et les frais au niveau du protocole, tandis que Labs conserve la discrétion sur les fonctionnalités optionnelles au niveau de l'application telles que le routage des swaps et la monétisation de l'interface. « Toute monétisation s'applique uniquement aux fonctionnalités accessoires », a écrit Aave Labs, arguant que cette séparation préserve la neutralité du protocole et évite de centraliser le contrôle économique au niveau fondamental. Cependant, les critiques affirment que la réalité pratique a été différente. Marc Zeller de l'Aave Chan Initiative (ACI) a déclaré qu'il existait une attente de longue date selon laquelle la monétisation liée au frontend aave.com — y compris le surplus de swaps et l'exécution assistée par prêt flash — bénéficierait à la DAO, d'autant plus que la marque, la légitimité de la gouvernance et une grande partie du développement sous-jacent ont été financés par les détenteurs de tokens. — Shaurya Malwa Lire la suite.

LES PINGOUINS PUDGY PRENNENT LE CONTRÔLE DE VEGAS : Autrefois un projet de jetons non fongibles (NFT) phare lors de la ruée crypto de 2021, Pudgy Penguins se tourne désormais vers une visibilité dans le monde réel avec une campagne publicitaire de premier plan au Las Vegas Sphere durant la semaine de Noël. Seules quelques marques liées à la crypto ont obtenu un espace publicitaire au Sphere, un lieu immense recouvert de LED, réputé pour ses affichages immersifs et ses performances d’artistes tels que U2 et les Eagles. A activation axée sur le bitcoin a été diffusé en juillet, mais d’autres exemples ont été rares. La publicité de Pudgy Penguins sera diffusée pendant plusieurs jours à partir du 24 décembre et comprendra plusieurs segments animés, selon une personne familière avec l’accord. La marque a dépensé environ 500 000 $ pour cet emplacement — un montant standard pour une diffusion à la Sphere. « Cela montre en quelque sorte qu’un projet crypto peut dépasser le cadre de la crypto, toucher les cœurs et les esprits des consommateurs ordinaires », a déclaré Vedant Mangaldas, directeur de la stratégie et de la marque chez Pudgy Penguins, à CoinDesk. Il a ajouté que l’accord a été rendu possible parce que le projet repose sur une « véritable entreprise ». – Helene Braun Lire la suite.

Dans d’autres nouvelles

• Securitize proposera ce qu’elle appelle la première plateforme de trading entièrement conforme onchain pour les actions publiques réelles au début de 2026, estompant ainsi les frontières entre les marchés traditionnels et l’infrastructure Web3. Le système de la société permet aux investisseurs de détenir directement des actions tokenisées de sociétés cotées en bourse, émises et enregistrées onchain, et négociables via une interface basée sur la blockchain, selon une annonce. Contrairement aux modèles de jetons synthétiques qui suivent les prix des actions via des entités offshore ou des dérivés, l’approche de Securitize offre une pleine propriété légale. Chaque action est émise par la société elle-même et enregistrée dans son tableau officiel des capitaux, a déclaré l’entreprise. « Il ne s’agit pas d’un simple suiveur de prix synthétique ni d’un billet à ordre contre un dépositaire », a écrit Securitize dans son annonce. « Ce sont de vraies actions réglementées : émises onchain, enregistrées directement dans le tableau des capitaux de l’émetteur, et échangeables via une expérience familière de type échange Web3. » Cela signifie que les détenteurs de jetons obtiennent de véritables droits d’actionnaire, y compris des dividendes et des droits de vote, et que leurs actifs sont en autonomie de garde, sans intermédiaires qui réutiliseraient les actions en coulisses. Les actifs sont néanmoins soumis à autorisation et ne peuvent être transférés qu’entre portefeuilles conformes et sur liste blanche. — Francesco Rodrigues Lire la suite.
• Le géant des cartes de crédit Visa (V) lance le règlement en USDC aux États-Unis, permettant aux partenaires émetteurs et acquéreurs de régler leurs obligations envers le réseau de cartes en utilisant le stablecoin indexé sur le dollar de Circle. Cette initiative marque la phase américaine d’un programme de règlement en stablecoin qui a atteint un taux annuel de 3,5 milliards de dollars au 30 novembre, selon un communiqué de presse de Visa. Cette nouvelle option vise à offrir aux banques et fintechs un mouvement de fonds quasi instantané, un règlement sept jours sur sept et une liquidité plus prévisible pendant les week-ends et les jours fériés, tout en maintenant une expérience consommateur de carte inchangée. — Will Canny Lire la suite.

Réglementation et politiques

• La sénatrice américaine Elizabeth Warren a a demandé une nouvelle enquête de sécurité nationale aux États-Unis dans un coin du secteur de la crypto, en spécifiant des préoccupations concernant PancakeSwap, un échange décentralisé qu'elle a signalé comme tentant d'amplifier des pièces émises par World Liberty Financial Inc., liée au président Donald Trump. Elle a déclaré la bourse, qui opère sur plusieurs blockchains et est un protocole majeur sur la chaîne de Binance, devrait être examiné pour un lien avec « toute influence politique inappropriée de l'administration Trump sur les décisions d'application de la loi », a déclaré Warren dans une lettre adressée lundi au secrétaire au Trésor Scott Bessent et à la procureure générale Pam Bondi, leur demandant d'enquêter, faisant écho à un demande similaire à laquelle elle a participé le mois dernier concernant WLFI. « Alors que le Congrès envisage une législation sur la structure du marché des cryptomonnaies — y compris des règles pour empêcher les terroristes, les criminels et les États voyous d’exploiter la finance décentralisée (DeFi) afin de financer leurs activités — il est crucial de comprendre si vous enquêtez sérieusement sur ces risques », a écrit Warren, qui est le démocrate principal au sein de la Commission bancaire du Sénat, chargée d’examiner la législation et de l’approuver avant que l’ensemble du Sénat puisse voter. — Jesse Hamilton Lire la suite.
• La Federal Deposit Insurance Corporation (FDIC) des États-Unis a déployé le première proposition officielle de règle découlant de la nouvelle loi régissant les émetteurs de stablecoins, avec son conseil d'administration votant pour ouvrir une période de commentaires publics de 60 jours sur son système de gestion des demandes de ses banques réglementées souhaitant émettre des stablecoins via des filiales. L'agence — dirigée par le président par intérim Travis Hill, qui est également le candidat du président Donald Trump pour le siège permanent — recueillera les commentaires et les examinera avant de pouvoir publier une règle finale. Le mardi proposition, approuvé par les trois membres présents du conseil d'administration réduit, établirait les procédures d'acceptation des candidatures, de leur examen dans un délai d'approbation de 120 jours et offrirait un processus d'appel pour les candidats refusés. « Selon la proposition, la FDIC adopterait un processus de candidature adapté qui permettrait à la FDIC d'évaluer la sécurité et la solidité des activités proposées par un candidat sur la base des critères légaux tout en réduisant au minimum la charge réglementaire pour les candidats, » a déclaré Hill, dont la nomination pourrait être confirmée dès cette semaine par le Sénat. La loi Guiding and Establishing National Innovation for U.S. Stablecoins (GENIUS) Act a été la première grande loi sur les cryptomonnaies approuvée par le Congrès, et elle a établi un ensemble complexe de régulateurs pour les entreprises souhaitant émettre des stablecoins, ces tokens indexés sur le dollar essentiels aux transactions dans le secteur des actifs numériques. Pour les institutions de dépôt assurées, la FDIC est le régulateur désigné. — Jesse Hamilton Lire la suite.

Calendrier

• 10-12 février 2026 : Consensus, Hong Kong
• 17-21 févr. 2026 : EthDenver, Denver
• 30 mars-2 avr. 2026 : EthCC, Cannes
• 15-16 avr. 2026 : Paris Blockchain Week, Paris
• 5-7 mai 2026 : Consensus, Miami