Plusieurs applications liées à Monero ont été exploitées en mai 2026, notamment une plateforme de trading de produits dérivés Haveno. Aucun de ces incidents n'a compromis le protocole de base de Monero. Le noyau cryptographique assurant la confidentialité (signatures de cercle, RingCT, adresses furtives) n'était pas concerné ; les failles résidaient dans le code applicatif, la coordination multisignature et les pratiques opérationnelles liées au protocole.
TL; DR: Monero lui-même n'a pas été ciblé en mai 2026. Les incidents ont touché des applications construites sur ou autour de Monero : plateformes d'échange, services fédérés, coordinateurs multisignatures. Si vous remplacez XMR, les garanties de confidentialité de base restent inchangées. La leçon à retenir est de bien choisir la couche applicative à laquelle vous faites confiance.
Que s'est-il réellement passé en mai 2026 ?
Une série d'incidents ont touché des logiciels liés à Monero au cours du mois. Le plus médiatisé concernait une faille de sécurité active dans le logiciel de trading Haveno, signalée le [date manquante]. r/Monero le 21/05/2026 et suivi dans Haveno PR #2315Cette attaque, qui a affecté au moins un opérateur en aval, a consisté, selon un fil de discussion public sur Reddit, à envoyer de faux messages d'accusé de réception usurpant l'identité de l'arbitre. L'attaquant a ainsi pu influencer la configuration des portefeuilles multisignatures avant le dépôt des fonds. Les opérateurs du réseau ont été invités à suspendre les transactions le temps de développer un correctif.
Le montant des pertes n'a pas été communiqué publiquement au moment de l'avis, et la correction est décrite dans la demande de fusion liée. Nous nous référons au rapport public et au correctif en amont ; nous ne pouvons confirmer les détails au-delà de ces URL.
Aucun de ces incidents n'a affecté le protocole de couche de base de Monero. Blog du projet Monero Monero n'a publié aucun avis au niveau du protocole lié à ces événements, et aucun réaménagement de la chaîne, aucune violation de la confidentialité et aucun échec de consensus n'ont été signalés par les contributeurs de Monero pendant cette période.
Pourquoi la couche de base a continué à fonctionner
La couche de base de Monero sépare clairement les préoccupations :
- Signatures d'anneau Masquer la quantité de ressources dépensées parmi un ensemble de leurres.
- RingCT cache le montant. C'était introduit sur le réseau principal en janvier 2017 (consulté le 28 mai 2026).
- Adresses furtives Cacher le récepteur.
Ces primitives sont utilisées en production depuis des années et, à notre connaissance, aucune faille cryptographique publique de confidentialité RingCT n'a été signalée sur la chaîne Monero en production. Des bugs d'application (erreurs de calcul des frais, anomalies de l'interface utilisateur, régressions de synchronisation des portefeuilles) surviennent et sont corrigés, mais ils ne remettent pas en cause les garanties de confidentialité de la chaîne.
La couche application, c'est une autre histoire. Elle est généralement plus récente, moins soumise à l'évaluation par les pairs (à notre avis) et combine de nombreux éléments : code d'interface graphique, coordination réseau, flux multisignatures, arbitres tiers et infrastructure de l'opérateur. C'est là que se sont produits les incidents de mai 2026.
Qu'est-ce que cela signifie pour les utilisateurs de swaps ?
Si vous échangez des XMR via un service non dépositaire, la question pertinente est de savoir ce qu'il advient de vos fonds pendant les quelques minutes que dure l'échange. Un échange non dépositaire signifie que les fonds transitent directement par un intermédiaire plutôt que de rester sous séquestre auprès d'un tiers. Plus ce transit est court et moins il nécessite de coordination, plus la surface d'attaque est réduite.
| Surface | Profil de risque | Remarques |
|---|---|---|
| Couche de base Monero | Stable | Aucune violation de confidentialité de la production n'a été divulguée publiquement à ce jour. |
| Logiciel de portefeuille | Modérée | Les bugs sont corrigés ; gardez vos portefeuilles à jour. |
| Services multisignatures fédérés | Meilleure performance du béton | La logique de coordination est une cible réelle — voir les incidents de mai 2026 |
| Bourses de conservation détenant du XMR | Le plus élevé | Les fonds sont bloqués sur la plateforme ; risque de contrepartie et de radiation de la cote |
Pour les swaps en particulier, privilégiez les solutions sans dépositaire aux plateformes avec séquestre. Un service de swap qui ne détient pas de fonds élimine totalement ce risque.
Comment réduire les risques pour l'écosystème lors de l'échange de XMR
- Utilisez une voie d'échange non dépositaire. GhostSwap est une plateforme d'échange de cryptomonnaies sans vérification d'identité (KYC) : pas de compte, pas d'adresse e-mail, pas d'inscription. Les fonds transitent par notre plateforme et ne sont jamais détenus par nous. Vous pouvez commencer dès maintenant sur notre site. page d'échange BTC vers XMR ou le widget en direct sur le page d'accueil.
- Vérifiez vous-même l'adresse de destination. Collez l'adresse Monero de réception depuis votre portefeuille. N'utilisez pas de procédure de copier-coller impliquant un arbitre tiers qui configure la signature multiple pour vous.
- Mettez à jour régulièrement le logiciel de votre portefeuille. La plupart des problèmes de la couche application sont corrigés rapidement une fois qu'ils sont identifiés.
- Privilégiez les topologies d'échange plus simples. Deux parties (vous et le service d'échange), une cotation à taux variable, un règlement sur la blockchain. GhostSwap utilise un modèle de liquidité agrégée provenant des principaux marchés de cryptomonnaies à taux variable, ce qui lui permet d'éviter les problèmes de coordination rencontrés en mai.
QFP
Q : Monero a-t-il été piraté en mai 2026 ?
R : Non. Le protocole de base de Monero n'a pas été exploité. Les incidents ont affecté les applications construites sur ou autour de Monero, et non la blockchain elle-même. Nous n'avons reçu aucun signalement de faille au niveau du protocole durant cette période.
Q : Est-il toujours sûr de détenir ou d'échanger des XMR ?
A : Les protections cryptographiques qui garantissent la confidentialité du XMR (signatures de cercle, RingCT, adresses furtives) n'ont pas été affectées par les incidents de mai 2026. Le risque se concentre au niveau de la couche applicative (portefeuilles, plateformes de trading, coordinateurs multisignatures) ; il est donc plus sûr d'opter pour des outils présentant une surface d'attaque réduite.
Q : Comment puis-je passer à XMR ou en revenir sans compte ?
A: GhostSwap prend en charge les échanges XMR sans inscription. Aucun compte, aucune adresse e-mail, aucune vérification d'identité. Plus de 1 600 paires sont prises en charge, couvrant plus de 200 actifs. Le temps d'exécution médian est d'environ 8 minutes, variable selon la congestion de la chaîne. Voir la Page de correspondance BTC/XMR ou le widget d'échange sur le page d'accueil.
Q : Dois-je conserver mes XMR sur une plateforme de trading ?
A : C'est un choix personnel, mais détenir des XMR sur une plateforme vous expose aux risques opérationnels de cette plateforme. Les portefeuilles non dépositaires que vous contrôlez réduisent ce risque, et les swaps non dépositaires l'évitent dès le départ.
Fermeture
Les incidents de mai 2026 nous rappellent que le risque opérationnel le plus important se situe au niveau de la couche applicative de Monero, et non au niveau de la blockchain elle-même. Si vous souhaitez continuer à échanger des XMR en minimisant les risques, privilégiez une approche non dépositaire et vérifiez vous-même vos adresses.
Lancez un échange sur le Page d'accueil de GhostSwap ou allez directement au Page de correspondance BTC/XMR.
