Attaquer les « personnes » est plus facile qu’attaquer le code ; le taux de récupération des fonds volés dans le Web3 est désormais inférieur à 10 %.
TechFlow SélectionTechFlow Sélection
Attaquer les « personnes » est plus facile qu’attaquer le code ; le taux de récupération des fonds volés dans le Web3 est désormais inférieur à 10 %.
Les attaques de pirates informatiques répétées et le taux de récupération inférieur à 10 % constituent des obstacles clés empêchant jusqu’à présent les investisseurs institutionnels de pénétrer ce marché.
Dédié à des analyses Web3 approfondiesRédaction : Tiger Researcher
Traduction et adaptation : AididiaoJP, Foresight News
Points clés
- Jusqu’en avril 2026, les attaques de pirates informatiques contre des projets Web3 se sont succédé sans interruption : 12 incidents ont été recensés rien qu’en avril.
- Les attaques par ingénierie sociale représentent une part croissante des pertes dues aux piratages — elles ont atteint 74,7 % des pertes totales au premier trimestre 2026. Attaquer une personne est plus facile qu’exploiter une vulnérabilité logicielle.
- Depuis 2020, le taux moyen de récupération des fonds volés reste constamment inférieur à 10 %. Contrairement à la finance traditionnelle, le Web3 ne peut pas empêcher un vol direct sur chaîne : dès que l’attaque est confirmée, les fonds disparaissent définitivement.
- Après avoir subi un piratage de 1,5 milliard de dollars, Bybit a pu poursuivre ses activités sans faire supporter aucune perte à ses investisseurs, grâce à une coordination entre bourses et à des réserves financières suffisantes. En revanche, dans le cas d’un protocole DeFi, dès lors que les actifs quittent le protocole, il n’existe aucun délai de grâce ni mécanisme de rattrapage.
- La récurrence des attaques et ce taux de récupération inférieur à 10 % constituent l’obstacle majeur empêchant encore aujourd’hui les investisseurs institutionnels d’entrer sur le marché. Ce dont le Web3 a besoin n’est pas une idéologie, mais bien des mécanismes opérationnels structurés et responsabilisés.
Les attaques de pirates continuent
Le pont interchaînes @hyperbridge (protocole reliant Polkadot et Ethereum) a été piraté.
L’attaquant a exploité une faille dans la logique de vérification des preuves pour falsifier des messages interchaînes, entraînant la frappe non autorisée d’environ 1 milliard de DOT transférés sur Ethereum. Les pertes subies par les utilisateurs sur Ethereum, Arbitrum, Base et BNB Chain s’élèvent à 2,5 millions de dollars.
Avant cette attaque contre le pont interchaînes Polkadot, le protocole DeFi @DriftProtocol avait subi une attaque sévère de 295,7 millions de dollars. Une organisation de pirates liée à la Corée du Nord avait passé six mois à établir la confiance avec des membres de l’équipe avant de prendre le contrôle des droits de gouvernance — une opération d’ingénierie sociale extrêmement sophistiquée. Tether a ensuite proposé un plan d’aide de 127,5 millions de dollars, mais le montant total d’assistance (147,5 millions de dollars) reste largement insuffisant face aux pertes totales de 295,7 millions de dollars.
Les attaques n’ont pas cessé après cet incident. En comptant les attaques mineures survenues après l’affaire Drift, on dénombre 12 attaques rien qu’en avril. Dans ce secteur fondé sur la finance programmable, les vulnérabilités s’accumulent sans cesse, suscitant une inquiétude croissante chez les investisseurs et les institutions.
Les pirates visent les personnes
L’attaque contre Drift Protocol a débuté par l’infection de l’ordinateur d’un membre de l’équipe. L’objectif n’était ni une vulnérabilité des contrats intelligents ni un défaut système, mais bel et bien une personne.
Le problème plus large est que la part des attaques par ingénierie sociale dans les incidents de piratage Web3 ne cesse de s’accroître.
En 2021, ces attaques représentaient 28,7 % des pertes totales liées aux piratages ; ce chiffre est passé à 64,3 % en 2025, puis à 74,7 % au premier trimestre 2026. Les attaques ciblant les individus se développent continuellement, tandis que la part des attaques exploitant des vulnérabilités logicielles diminue relativement.
Étant donné le caractère open source des blockchains, on aurait pu penser que les vulnérabilités logicielles domineraient. Or, dans la pratique, l’ingénierie sociale est devenue le vecteur d’attaque principal. La raison en est simple : compromettre une personne disposant déjà des droits d’accès est bien plus facile que de repérer une faille dans le code.
Ce phénomène suit la même tendance dans les secteurs traditionnels : en 2025, 70 % des attaques contre les entreprises impliquaient une composante d’ingénierie sociale — une méthode qui s’est directement transplantée dans le domaine du Web3.
Toutefois, le Web3 présente une différence fondamentale avec la finance traditionnelle : dans ce dernier cas, une attaque réussie ne conduit que rarement à un vol définitif des fonds ; le gel de compte, l’annulation de virements ou l’intervention d’organismes régulateurs peuvent souvent y remédier. Dans le Web3, en revanche, les fonds détenus par un protocole peuvent être retirés directement sur chaîne, et une fois la transaction confirmée, elle devient irréversible.
C’est précisément cette caractéristique qui rend le Web3 si attractif pour les pirates.
Un taux de récupération en baisse continue, des pertes irrémédiables
Les attaques contre les protocoles DeFi causent chaque année des pertes s’élevant à plusieurs milliards de dollars, mais le pourcentage effectif de fonds récupérés ne cesse de diminuer. Avec l’émergence d’acteurs étatiques comme le groupe nord-coréen Lazarus, ainsi que l’utilisation croissante de mixeurs et de ponts interchaînes pour blanchir des fonds de manière de plus en plus complexe, la récupération devient de plus en plus difficile.
Si les fonds volés pouvaient être récupérés, cela permettrait au moins de maintenir un niveau minimal de sécurité. Or, dans le cas de la DeFi, le taux de récupération demeure systématiquement très bas.
Depuis 2020, le taux annuel moyen de récupération est resté inférieur à 10 %. L’exception notable fut l’attaque contre Poly Network en 2021, où 611 millions de dollars furent volés : le pirate a choisi de rembourser intégralement, ce qui a fait fortement monter la moyenne annuelle. En excluant cet événement unique, le taux de récupération annuel reste constamment très faible.
Les survivants sont ceux qui disposent d’une capacité de réponse
Tous les projets Web3 ne s’effondrent pas nécessairement après une attaque. À la différence des protocoles DeFi, qui s’effondrent généralement après une seule attaque, certains acteurs ont réussi à surmonter le choc.
En 2025, Bybit a survécu à un piratage de 1,5 milliard de dollars. La coordination entre bourses et la disponibilité de réserves financières suffisantes pour couvrir les pertes ont joué un rôle décisif. Bien que tous les fonds volés n’aient pas été récupérés, la bourse a pu poursuivre ses activités sans infliger la moindre perte à ses investisseurs — c’est là l’essentiel. En effet, la plupart des bourses disposent d’un fonds SAFU indépendant destiné à faire face aux piratages et autres événements imprévus.
Les protocoles DeFi, eux, ne bénéficient d’aucun espace tampon de ce type. Dès que la transaction est finalisée, les actifs du protocole disparaissent définitivement, sans possibilité de retour arrière. La voie de récupération la plus réaliste consiste à négocier avec l’attaquant, mais ce dernier manifeste presque toujours une totale réticence à toute négociation. Dans le cas de groupes soutenus par des États tels que Lazarus, toute négociation est purement et simplement impossible.
Dans la finance traditionnelle, une attaque déclenche immédiatement l’intervention d’organismes institutionnels : gel de comptes, enquêtes, assurances et recours juridiques se succèdent alors de façon ordonnée. Dans le Web3, aucun organe d’autorité n’est en mesure d’annuler une transaction une fois confirmée. Certains projets demandent occasionnellement une intervention au niveau de la chaîne afin de geler des actifs, mais « geler » ne signifie pas « restituer ».
La contrainte fondamentale demeure : dans le Web3, une erreur commise est irrémédiable.
Comment convaincre les institutions à l’ère institutionnelle ?
Nous sommes entrés dans l’ère institutionnelle. Que nous l’acceptions ou non, les institutions dictent désormais la direction du marché — une tendance irréversible.
Si les attaques de pirates persistent et si les projets continuent de s’effondrer, le Web3 n’aura rien à offrir aux institutions. L’intérêt des institutions pour la blockchain et la DeFi est déjà très fort. L’efficacité opérationnelle de la gestion d’actifs, les nouveaux modèles de rendement et les marchés ouverts 24 heures sur 24, 7 jours sur 7 constituent des atouts très attractifs.
Mais si les projets continuent d’être piratés et de faire faillite, même les gains d’efficacité et les structures de rendement les plus alléchantes perdront tout sens. Peu importe l’avantage technologique, la sécurité des actifs sous-jacents reste primordiale. Un taux de récupération inférieur à 10 % demeure l’un des principaux motifs pour lesquels les investisseurs institutionnels choisissent encore de rester en retrait.
L’arrivée effective des capitaux institutionnels ferait exploser la taille du marché bien au-delà de son niveau actuel. Ce n’est pas l’avantage technologique qui ouvrira cette porte, mais bien un cadre de réponse digne de confiance. La capacité du secteur à défendre la décentralisation tout en convainquant les institutions déterminera si le Web3 parviendra à franchir la prochaine étape de son développement.
Ce dont le Web3 a besoin aujourd’hui n’est pas une philosophie, mais bien une architecture conçue pour faire face aux échecs, ainsi que des mécanismes opérationnels fondés sur la responsabilisation.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@tiger_research
