Le leak Ill Bloom a exposé 3,1 millions de dollars dans des wallets crypto
Coinspect relie l’attaque à des recovery phrases faibles sur Bitcoin, Ethereum et Solana ; ce sont surtout les wallets self-custodial et des applications mobiles moins connues qui ont été touchés.

À retenir
- Coinspect a signalé un leak Ill Bloom exploité le 27 mai, qui a permis de siphonner environ 3,1 millions de dollars à 431 wallets.
- La faille provenait d’un générateur de nombres pseudorandom non sécurisé, à l’origine de recovery phrases faibles sur plusieurs blockchains.
- Bitcoin a été le plus touché avec 2,57 millions de dollars ; les utilisateurs dont l’adresse correspond doit créer un nouveau wallet et transférer leurs fonds.
Coinspect a identifié une faille dans des wallets crypto, exploitée le 27 mai, qui a conduit à la perte d’environ 3,1 millions de dollars (2,7 millions d’euros) au total pour 431 wallets. Baptisé Ill Bloom, ce leak a généré des recovery phrases faibles sur plusieurs blockchains, ouvrant la voie à des attaques contre des adresses déjà approvisionnées. Les wallets self-custodial sont particulièrement concernés, puisque les utilisateurs y conservent eux-mêmes leurs clés privées.
Comment la faille a fonctionné
Selon Coinspect, l’origine du problème se trouve dans un générateur de nombres pseudorandom non sécurisé utilisé lors de la création des wallets. Certaines recovery phrases ont ainsi été produites avec une solidité cryptographique nettement insuffisante. En pratique, un attaquant pouvait alors reconstituer l’ensemble des combinaisons possibles et accéder aux adresses alimentées.
Les chercheurs disent avoir reproduit l’attaque de bout en bout. Ils ont reconstruit toutes les adresses susceptibles de découler de recovery phrases faibles, puis les ont confrontées à des wallets financés sur des blockchains publiques. Les adresses compromises remontent à 2018 et proviennent, selon Coinspect, surtout de wallets crypto mobiles moins connus.
Plusieurs réseaux touchés
La vulnérabilité concerne plusieurs réseaux, dont Bitcoin, Ethereum et Solana. Coinspect cite aussi un ensemble surveillé de 2 114 adresses financées sur Bitcoin, Ethereum, Tron, Rootstock et Polygon. Le 27 mai, les comptes visés ont été vidés en quelques heures vers un petit nombre d’adresses collectrices partagées.
Bitcoin a subi l’impact le plus lourd, avec 2,57 millions de dollars (2,3 millions d’euros) dérobés, et un seul compte a perdu à lui seul plus de 1,1 million de dollars (1 million d’euros). Coinspect estime que les 3,1 millions de dollars (2,7 millions d’euros) constituent un minimum, car de nouveaux comptes touchés continuent d’être identifiés. L’affaire s’inscrit dans un problème plus large de faiblesse de l’aléa dans les wallets crypto, après des cas antérieurs comme Milk Sad et une vulnérabilité dans l’extension de navigateur de Trust Wallet. D’autres incidents récents ont aussi rappelé que les smart contracts ne sont pas les seuls points de fragilité, car la gestion des clés et l’infrastructure des wallets peuvent elles aussi être mises en cause, comme dans le cas des clés privées.
Ce que les utilisateurs doivent vérifier maintenant
Coinspect a mis en ligne un outil de vérification qui compare les adresses publiques avec l’ensemble de données vulnérable connu. Cela dit, un résultat négatif ne garantit rien, puisque la base de données reste incomplète. Les utilisateurs dont l’adresse correspond doivent créer un wallet crypto entièrement nouveau et y transférer leurs fonds vers de nouvelles adresses ; réimporter l’ancienne seed phrase laisserait au contraire les actifs exposés.
Pour les lecteurs européens de la crypto, l’enjeu est clair : le risque lié aux wallets ne se limite pas aux plateformes d’échange ou aux grands hacks, mais touche aussi les fondations mêmes de la génération de clés. Selon Coinspect, les utilisateurs de hardware wallets ne sont pas concernés, tandis que les développeurs de wallets travaillent parallèlement à des standards plus sûrs, notamment pour Ethereum. Les prochains jours devraient permettre d’identifier plus précisément les applications à l’origine des recovery phrases faibles.