La plateforme de gestion et d'analyse financière décentralisée Step Finance a confirmé fin janvier qu'elle était la victime d'une attaque qui lui a coûté des dizaines de millions de dollars en actifs numériques. Selon l'entreprise, les agresseurs ont accédé à des dispositifs appartenant à l'équipe exécutive et de là ils ont commis plusieurs portefeuilles du trésor, une tactique qui, bien que pas toujours détaillée publiquement, s'adapte aux vecteurs d'attaque vus dans d'autres incidents de l'écosystème critique.
Step a détecté l'écart le 31 janvier et, à peine confirmé l'intrusion, a activé les enquêteurs de cybersécurité et informé les autorités. Dans un premier bilan, des entreprises extérieures telles que CertiK ont estimé que les fonds volés s'élevaient à 261 854 dollars des États-Unis, chiffre qui, à l'époque, était évalué à environ 28,9 millions de dollars, bien que Step elle-même ait étendu cette estimation jusqu'à 40 millions de dollars. La communication initiale de Step et le suivi de CertiK sont disponibles dans ses publications publiques: La libération de Step et Avis de CertiK. Plus tard, Step a mis à jour son calcul ici: Mise à jour de l'étape.
Une partie de l'argent a été récupérée grâce à la collaboration avec les partenaires et aux protections actives dans l'infrastructure de la plateforme. L'étape a indiqué qu'environ 3,7 millions de dollars d'actifs liés à Remora et environ 1 million de dollars d'autres positions pourraient être récupérés grâce à des mesures coordonnées, en tirant parti des mécanismes de traçage et de verrouillage des chaînes. Il a également noté que Remora Markets - un produit qui appartient à Step - a été isolé de l'incident et que rTokens sont supportés 1: 1.
Ce que cela signifie pour les utilisateurs. Étape a expressément demandé que les utilisateurs n'interagissent pas avec le jeton STEP natif tout en poursuivant l'enquête. La plateforme a également annoncé qu'elle prendrait un instantané de l'état de pré-explosion pour préparer une solution pour les détenteurs de STEP. Dans la pratique, cela signifie que Step vise à préserver une image immuable de l'état des comptes avant l'attaque pour évaluer la compensation ou les mesures de réparation, bien que les détails définitifs n'aient pas encore été réalisés.
L'entreprise n'a pas divulgué tous les détails techniques de l'attaque et n'a pas identifié publiquement les responsables, et cette opacité a alimenté la spéculation sur la possibilité d'une "rafale" ou d'une défaillance interne. Il importe de souligner que, jusqu'à présent, ces soupçons n'ont pas été prouvés et que les enquêtes médico-légales sur de tels incidents exigent du temps et un accès à des informations sensibles que les entreprises ne peuvent pas toujours ou devraient rendre publiques immédiatement.
Contextualiser le coup d'État: les 40 millions Step sont significatifs, mais ils font partie d'un tableau plus large des pertes pour la cybercriminalité cryptographique. CertiK, qui surveille les incidents de sécurité dans Lockchain, a déclaré des pertes de près de 398 millions de dollars seulement en janvier - avec une récupération partielle d'environ 4,366 millions - et rappelé que 2025 a accumulé 147 hacks confirmés par environ 2,87 milliards de pertes, tandis que 2022 reste l'année avec le chiffre le plus élevé enregistré jusqu'à présent. Ces données sont disponibles sur les canaux publics CertiK: Résumé des pertes et sur votre page corporative certik.com.
Du point de vue technique et sécuritaire, l'incident d'étape montre à nouveau plusieurs leçons connues mais souvent oubliées dans le secteur critique. L'écosystème de la blockchain est public et traçable, ce qui facilite le suivi des flux de fonds, mais dépend également dans une large mesure de la gestion sûre des clés privées et de bonnes pratiques de gouvernance dans les équipes qui contrôlent la trésorerie et les contrats intelligents. Lorsque les appareils personnels ou les clés administratives sont compromis, les attaquants peuvent déplacer les actifs rapidement et les disperser par de multiples directions à la recherche de sauts aux échangeurs ou aux mélangeurs.
Pour les utilisateurs et les projets, il convient de renforcer les mesures de base mais efficaces : séparer les fonds de trésorerie des fonds en espèces dans des portefeuilles comportant des contrôles à signature multiple, utiliser le stockage à froid pour les réserves importantes, mettre en œuvre des politiques strictes de vérification des pouvoirs et de gestion de l'accès, et utiliser des vérificateurs indépendants et des fournisseurs de garde, le cas échéant. Dans le cas de Step, la coordination avec les spécialistes de la chaîne de blocs médico-légale et les partenaires de l'écosystème a permis de récupérer une partie des fonds; toutefois, la récupération complète de ces incidents n'est pas garantie et dépend souvent de la rapidité de réaction et de la coopération des échanges et autres intermédiaires.
Si vous utilisez la plateforme ou avez des jetons associés, une recommandation prudente est d'éviter les interactions avec les contrats ou marchés associés jusqu'à ce que Step publie un rapport médico-légal plus détaillé et des mesures d'atténuation claires. Il est également de bonne pratique de révoquer les approbations inutiles des portefeuilles personnels, de vérifier l'activité inhabituelle dans vos directions avec les scouts de blocs et, si vous conservez les montants pertinents, envisager de les migrer vers des solutions de garde avec de meilleurs contrôles de sécurité.
Étape conserve votre site et les canaux officiels pour les mises à jour; la page principale de la plateforme est disponible ici: pas.financer. Entre-temps, les signes de l'incident et de son adéquation à la vague d'attaques contre des projets critiques rappellent que, malgré l'amélioration des outils et des audits, la sécurité opérationnelle et l'hygiène numérique demeurent les maillons les plus faibles dans de nombreux cas.
Dans un secteur où la transparence et la confiance sont presque tout, la façon dont Step documente l'intrusion et agit sur les revendications des utilisateurs sera cruciale pour retrouver la crédibilité. Les yeux de l'écosystème sont placés dans la recherche et les mesures correctives; d'ici là, la recommandation doit être informée par les voies officielles et prendre des précautions dans toute interaction avec les biens connexes.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...