Analyse rétrospective de 20 incidents de vol : Pourquoi les cryptomonnaies sont-elles constamment victimes de vols ?
TechFlow SélectionTechFlow Sélection
Analyse rétrospective de 20 incidents de vol : Pourquoi les cryptomonnaies sont-elles constamment victimes de vols ?
Analyse de 20 cas de piratage cryptographique, décomposition des deux voies empruntées par les attaquants, et explication du fait qu’un problème sur un protocole affecte l’ensemble de l’écosystème.
Dédié à des analyses Web3 approfondiesAuteur : Changan I Équipe éditoriale de Biteye
En avril 2026, Kelp DAO a subi un vol de 292 millions de dollars américains : l’attaquant a emprunté des actifs réels sur Aave en utilisant des jetons non garantis, générant ainsi plus de 200 millions de dollars de créances douteuses en 46 minutes.
Ce vol n’est qu’un épisode parmi de nombreux autres survenus cette année : Drift (285 millions de dollars), Step Finance (environ 30 millions de dollars), Resolv Labs (environ 23 millions de dollars) — les annonces de vols se succèdent à un rythme tel que l’industrie n’a pas le temps de réagir avant qu’un nouveau projet ne soit victime à son tour.
Existe-t-il une logique sous-jacente à ces incidents ? Comment les pirates attaquent-ils réellement les protocoles ?
Cet article analyse 20 cas de vols représentatifs, historiques et récents, afin d’y déceler des tendances communes.
D’après notre analyse de ces 20 cas, trois tendances claires émergent :
- Les vulnérabilités techniques constituent la majorité des cas, mais les pertes individuelles y sont relativement limitées ; en revanche, bien que moins fréquentes, les attaques fondées sur des abus de privilèges ou des ingénieries sociales représentent la plus grande part des pertes cumulées.
- L’échelle des attaques par abus de privilèges ne cesse de croître. Parmi les 20 cas recensés, les quatre plus importants impliquent tous des hackers nord-coréens.
- Le champ de bataille des vulnérabilités techniques est en pleine mutation : les ponts interchaînes n’ont jamais été sécurisés.
I. Les 10 projets ayant subi les pertes les plus importantes
1. Nom du projet : Bybit (montant volé : 1,5 milliard USD | date : février 2025)
Raison du vol :
L’organisation nord-coréenne de hackers Lazarus Group (attribuée avec un haut degré de confiance par le FBI et ZachXBT dans le cadre de l’opération « TraderTraitor ») a contourné le mécanisme multi-signature de Safe Wallet via une combinaison d’usurpation d’interface utilisateur (UI) et de fraude multi-signature.
Les attaquants ont injecté un code JavaScript malveillant dans l’interface frontend du portefeuille Safe. Lorsqu’un détenteur de signature multi-signature (sur un total de six signataires) effectuait un transfert standard depuis un portefeuille froid, l’interface affichait normalement l’adresse de réception et le montant corrects, mais les données d’appel (Call Data) sous-jacentes étaient modifiées en arrière-plan, redirigeant ainsi 401 000 ETH vers l’adresse contrôlée par les attaquants. Trompés par cette illusion du « ce que l’on voit n’est pas ce que l’on obtient », trois des six signataires ont approuvé la transaction, entraînant une perte immédiate de fonds.
Problème fondamental : la sécurité multi-signature repose sur l’interaction homme-machine, or l’absence de vérification indépendante au niveau de l’interface frontend a annulé toute garantie mathématique de sécurité. Tether a gelé les USDT concernés en quelques heures, tandis que Circle a retardé le gel des USDC de 24 heures, aggravant ainsi les pertes. Cet incident met en lumière la menace mortelle que représentent les attaques combinant ingénierie sociale et interface utilisateur pour les plateformes centralisées, et a accéléré le développement de réseaux de vérification des transactions tels que Safenet.
Cet événement présente des similitudes frappantes avec l’attaque contre Drift Protocol (avril 2026, 285 millions USD) : ingénierie sociale ciblée pour établir la confiance, suivie d’une fraude sur l’interface UI ou les signatures — cela marque une transition claire des hackers, qui passent des vulnérabilités contractuelles aux « faiblesses homme-machine ».
Dans le cadre de la gestion post-incident, Bybit a rapidement mobilisé ses propres fonds pour compenser intégralement toutes les pertes, garantissant ainsi zéro perte pour ses utilisateurs ; la plateforme fonctionne aujourd’hui de façon stable.
2. Nom du projet : Ronin Network (montant volé : 624 millions USD | date : mars 2022)
Raison du vol : l’organisation nord-coréenne de hackers Lazarus Group a pris le contrôle complet des clés privées des nœuds validateurs grâce à une ingénierie sociale et à l’exploitation d’une porte dérobée.
Les attaquants ont infiltré le système interne de Sky Mavis et utilisé une porte dérobée présente dans un nœud RPC sans frais de gaz pour prendre le contrôle de cinq des neuf nœuds validateurs (dont quatre nœuds appartenant à Sky Mavis et un nœud appartenant à Axie DAO). Ils ont ensuite construit deux transactions de retrait frauduleuses, permettant ainsi le transfert illégal de 173 600 ETH et de 25,5 millions de USDC.
La cause fondamentale de cet incident réside dans la conception du pont interchaînes, où le pouvoir de validation était excessivement concentré entre les mains d’un petit nombre de nœuds. Le seuil requis pour valider une opération — cinq signatures sur neuf — s’est avéré pratiquement inopérant face à une attaque ciblée d’ingénierie sociale.
3. Nom du projet : Poly Network (montant volé : 611 millions USD | date : août 2021)
Raison du vol : la cause principale du vol subi par Poly Network était une vulnérabilité grave dans la gestion des droits d’accès au sein des contrats interchaînes.
Les attaquants ont exploité la relation entre deux contrats dotés de privilèges élevés — EthCrossChainManager et EthCrossChainData — pour falsifier un appel de fonction exécutable. Comme EthCrossChainManager disposait lui-même du droit de modifier la clé publique du « Keeper », et que le paramètre _method utilisé lors de l’appel pouvait être défini librement par l’utilisateur, les attaquants ont pu, en créant une collision de hachage, invoquer avec succès la fonction putCurEpochConPubKeyBytes, normalement réservée aux seuls privilèges élevés.
Ainsi, les attaquants ont remplacé la clé publique du gestionnaire légitime par la leur propre clé publique, prenant ainsi le contrôle des actifs interchaînes et transférant finalement des fonds provenant de plusieurs chaînes.
4. Nom du projet : Wormhole (montant volé : 326 millions USD | date : février 2022)
Raison du vol : normalement, lorsqu’un utilisateur souhaite transférer des actifs d’une chaîne à une autre, le système doit d’abord vérifier que ces actifs ont bien été déposés et que les signatures correspondantes sont effectivement valides, avant de générer les actifs équivalents sur la chaîne destinataire.
Le problème de Wormhole résidait précisément dans cette étape de « vérification des signatures ». Le code de Wormhole utilisait une fonction obsolète et insuffisamment sécurisée pour vérifier la légitimité des transactions. Cette fonction était initialement conçue pour confirmer si la validation des signatures avait bien été réalisée précédemment, mais sa vérification manquait de rigueur, offrant ainsi une brèche exploitée par les attaquants.
Grâce à cette vulnérabilité, les attaquants ont pu fabriquer un ensemble d’informations donnant l’illusion d’avoir passé la vérification, induisant ainsi le système en erreur quant à la validité de l’opération interchaînes. Autrement dit, le système aurait dû d’abord confirmer que « les fonds avaient bien été verrouillés », mais comme la vérification avait été contournée, il a cru aveuglément à la preuve factice fournie par les attaquants.
Par conséquent, les attaquants ont pu créer de la wETH à partir de rien, sans avoir réellement déposé d’actifs suffisants. Ces actifs ont ensuite été transférés et échangés, causant finalement une perte d’environ 326 millions de dollars américains à Wormhole.
5. Nom du projet : Drift Protocol (montant volé : 285 millions USD | date : avril 2026)
Raison du vol : une organisation nord-coréenne de hackers a mené une infiltration ciblée sur six mois, combinée à une escroquerie reposant sur le mécanisme Solana Durable Nonce.
Depuis l’automne 2025, les attaquants se sont fait passer pour une société de trading quantitatif, établissant des relations de confiance en personne avec des contributeurs de Drift lors de plusieurs conférences cryptographiques internationales, tout en investissant plus d’un million de dollars dans le « Ecosystem Vault » afin de renforcer leur crédibilité. Une fois cette confiance acquise, ils ont incité les membres du Conseil de Sécurité à pré-approuver plusieurs transactions apparemment anodines, en dissimulant une instruction de transfert de gestionnalité au sein du mécanisme Solana Durable Nonce. Parallèlement, Drift venait juste de migrer vers un système multi-signature à latence nulle, supprimant ainsi toute fenêtre de détection ou d’intervention a posteriori.
Une fois le contrôle du protocole acquis, les attaquants ont créé un faux jeton CVT disposant d’une liquidité réelle inférieure à quelques centaines de dollars, puis ont artificiellement gonflé son prix par des achats et ventes simulés. Ensuite, ils ont déposé 500 millions de CVT comme collatéral dans le protocole afin d’emprunter 285 millions de dollars américains en USDC, SOL et ETH. L’ensemble de cette phase d’exécution n’a duré que 12 minutes.
Drift et l’équipe de sécurité SEAL 911 attribuent cet incident à une organisation nord-coréenne liée à l’État (avec un degré de confiance « moyen à élevé »), précisant que les exécutants n’étaient pas des citoyens nord-coréens, mais des intermédiaires tiers contrôlés par cette organisation.
6. Nom du projet : WazirX (montant volé : 235 millions USD | date : juillet 2024)
Raison du vol : l’élément central de cette attaque réside dans la compromission progressive du portefeuille multi-signature, suivi de son remplacement par un contrat malveillant.
Les attaquants ont d’abord obtenu l’accès à certains signataires via du phishing (y compris des intrusions directes et des approbations induites). Sur cette base, ils ont ensuite trompé d’autres signataires en falsifiant l’interface, les amenant à approuver des transactions malveillantes sans en connaître la nature.
Une fois le nombre requis de signatures collecté, les attaquants n’ont pas immédiatement transféré les actifs, mais ont plutôt utilisé le mécanisme de mise à jour intégré au portefeuille multi-signature pour effectuer une mise à niveau du contrat, remplaçant le contrat d’implémentation d’origine par un contrat malveillant déployé par eux-mêmes.
Une fois ce contrat malveillant activé comme nouvelle logique d’exécution, toutes les transactions ultérieures ont été redirigées vers l’adresse contrôlée par les attaquants. Le contrôle du portefeuille multi-signature a ainsi été entièrement pris, et les actifs ont été progressivement transférés hors chaîne.
7. Nom du projet : Cetus (montant volé : 223 millions USD | date : mai 2025)
Raison du vol : cette attaque découle d’une vulnérabilité d’overflow arithmétique dans le calcul de liquidité du protocole.
Plus précisément, la fonction mathématique utilisée par Cetus pour traiter des grands nombres présentait une erreur de vérification des limites. Lorsqu’une valeur atteignait exactement la limite critique, le système ne détectait pas correctement l’overflow imminent et poursuivait néanmoins le calcul, produisant un résultat anormalement amplifié.
Les attaquants ont exploité ce point faible en concevant une séquence opérationnelle précise : ils ont d’abord provoqué des conditions de prix extrêmes via une transaction de très grande ampleur, puis ont créé une position de liquidité dans une fourchette spécifique, n’y injectant qu’une quantité minuscule d’actifs (niveau « dust »). Dans ces conditions, l’overflow s’est déclenché dans le contrat, amenant le système à estimer que les attaquants devaient recevoir une part de liquidité largement supérieure à leur apport réel.
Les attaquants ont ensuite exploité ces parts artificiellement gonflées pour retirer leur liquidité, extrayant ainsi des actifs bien supérieurs à leur investissement initial depuis le pool. Ce processus pouvait être répété, permettant un prélèvement continu des fonds du pool, aboutissant finalement à des pertes massives.
8. Nom du projet : Gala Games (montant volé : 216 millions USD | date : mai 2024)
Raison du vol : l’élément central de cette attaque réside dans la compromission de la clé privée d’un compte de frappe (mint) disposant de privilèges élevés, entraînant une défaillance du contrôle d’accès.
Le contrat de Gala comportait bien des restrictions d’accès sur la fonction de frappe, mais la clé privée d’un compte autorisé à frapper (« minter account ») avait été compromise par les attaquants. Ce compte, bien que longtemps inutilisé, conservait encore des privilèges complets.
Une fois le contrôle de ce compte acquis, les attaquants ont directement appelé la fonction de frappe du contrat pour créer environ 5 milliards de jetons GALA, qu’ils ont transférés vers leur adresse personnelle. Ils ont ensuite échangé ces jetons par lots sur le marché contre de l’ETH afin de réaliser leurs bénéfices.
Aucune vulnérabilité de contrat intelligent n’a été exploitée dans ce processus : l’opération malveillante a été exécutée directement via des permissions légitimes.
9. Nom du projet : Mixin Network (montant volé : 200 millions USD | date : septembre 2023)
Raison du vol : l’élément central de cette attaque réside dans le stockage des clés privées dans une base de données cloud centralisée.
Mixin Network affirmait être maintenu par 35 nœuds principaux, supportant les transferts interchaînes sur 48 blockchains publiques. Toutefois, les clés privées de ses portefeuilles chauds et de nombreux adresses de dépôt étaient stockées, selon une méthode « récupérable », dans une base de données fournie par un prestataire tiers de services cloud. Dans la nuit du 23 septembre 2023, les attaquants ont infiltré cette base de données et extrait massivement ces clés privées.
Une fois en possession des clés privées, les attaquants n’ont eu besoin d’aucune analyse ni d’aucun contournement logiciel : ils ont simplement signé des transactions de transfert en tant qu’entités légitimes. Les enregistrements sur la chaîne montrent que les attaquants ont vidé les adresses dans l’ordre décroissant de leurs soldes, effectuant plus de 10 000 transactions sur plusieurs heures, principalement composées d’environ 95,3 millions d’USD en ETH, 23,7 millions d’USD en BTC et 23,6 millions d’USD en USDT, dont une partie a été rapidement échangée contre du DAI afin d’éviter tout gel.
10. Nom du projet : Euler Finance (montant volé : 197 millions USD | date : mars 2023)
Raison du vol : l’élément central de cette attaque réside dans une incohérence entre les calculs internes des actifs et des passifs du protocole, amplifiée par l’usage de prêts flash.
Plus précisément, la fonction DonateToReserve d’Euler, lors de son exécution, détruisait uniquement les eToken représentant les actifs déposés en garantie, sans détruire simultanément les dToken représentant les dettes, rompant ainsi la correspondance systémique entre « garantie » et « dette ».
Dans ces conditions, le protocole considérait à tort que la garantie diminuait et que la structure des dettes changeait, conduisant à un état d’actifs anormal.
Les attaquants ont construit une séquence complète d’opérations autour de ce point faible : ils ont d’abord emprunté de gros volumes via des prêts flash, puis effectué des dépôts et des emprunts au sein du protocole, ajustant répétitivement la relation quantitative entre eToken et dToken. Grâce à cette faille logique, le système a produit continuellement des états erronés d’actifs/dettes, leur octroyant ainsi des capacités d’emprunt dépassant largement leur capacité réelle de garantie.
Une fois cette capacité d’emprunt anormalement accrue obtenue, les attaquants ont retiré les fonds par tranches et les ont convertis en plusieurs actifs (DAI, USDC, stETH, wBTC). L’ensemble de ce processus s’est déroulé dans une seule transaction, avec des gains amplifiés par des itérations multiples, causant finalement une perte d’environ 197 millions de dollars américains.
II. Les 10 projets récemment victimes de vols
1. Nom du projet : Hyperbridge (montant volé : environ 2,5 millions USD, avril 2026)
Raison du vol : L’élément central de cet incident réside dans une déficience de la logique de vérification des preuves au sein de la passerelle de jetons (Token Gateway).
Les attaquants ont exploité l’absence de validation des entrées dans la vérification des preuves MMR (Merkle Mountain Range), falsifiant ainsi une preuve interchaînes qui n’aurait jamais dû être acceptée. Le système, ayant à tort traité cette preuve invalide comme valide, a permis aux attaquants d’obtenir le contrôle de la gestion du contrat DOT bridgé sur Ethereum, leur permettant de frapper environ 1 milliard de jetons DOT bridgés fictifs, puis de les vendre sur les DEX.
Cette attaque a également affecté les pools DOT sur Ethereum, Base, BNB Chain et Arbitrum. L’estimation initiale des pertes, d’environ 237 000 USD, a ensuite été révisée à environ 2,5 millions de dollars américains.
2. Nom du projet : Venus Protocol (montant volé : environ 3,7 à 5 millions USD, mars 2026)
Raison du vol : L’élément central de cette attaque réside dans la possibilité de contourner la vérification du plafond d’approvisionnement (supply cap), combinée à l’exploitation de la logique de calcul du taux de change (exchange rate).
Plus précisément, Venus calcule les fonds disponibles sur le marché en lisant directement le solde réel du contrat via balanceOf() ; toutefois, la vérification du plafond d’approvisionnement n’est effectuée que dans le flux mint().
Les attaquants ont contourné mint() en transférant directement des actifs sous-jacents (transfert ERC-20) vers le contrat vToken, évitant ainsi la vérification du plafond d’approvisionnement.
Comme ces fonds sont comptabilisés dans le solde du contrat, le système, lors du calcul du taux de change, considère que les actifs du pool augmentent, alors que le nombre de vToken correspondant n’augmente pas, ce qui entraîne une hausse anormale du taux de change.
Dans ces conditions, la valeur des actifs mis en garantie détenus par les attaquants est artificiellement gonflée, leur accordant une capacité d’emprunt largement supérieure à leur valeur réelle.
Les attaquants ont ensuite exploité cette valeur de garantie gonflée pour répéter des cycles d’emprunt → hausse artificielle des prix → nouvel emprunt, extrayant divers actifs du protocole et causant finalement une perte d’environ 5 millions de dollars américains.
3. Nom du projet : Resolv Labs (montant volé : environ 23 à 25 millions USD, mars 2026)
Raison du vol : L’élément central de cette attaque réside dans la compromission de la clé privée d’une signature critique, associée à l’absence de vérification du plafond de frappe au niveau du contrat sur la chaîne.
Le processus de frappe de USR chez Resolv repose sur un service hors chaîne : l’utilisateur soumet d’abord une demande, qui est ensuite signée par un système détenant une clé privée privilégiée (SERVICE_ROLE), avant d’être exécutée par le contrat.
Mais le contrat ne vérifie que « la signature est-elle valide ? », sans examiner « la quantité frappée est-elle raisonnable ? », ni appliquer de ratio de garantie, de price oracle ou de limite maximale de frappe.
Les attaquants ont infiltré l’infrastructure cloud du projet et obtenu cette clé privée de signature, leur permettant ainsi de générer des signatures légitimes à leur guise.
Une fois en possession de cette autorité de signature, les attaquants ont utilisé une petite somme d’USDC (environ 100 000 à 200 000 USD) comme entrée, falsifié les paramètres et frappé directement environ 80 millions de jetons USR sans aucune garantie sous-jacente.
Ces USR non garantis ont ensuite été rapidement échangés contre d’autres stablecoins, puis convertis en ETH, tandis que les fonds étaient progressivement transférés hors chaîne. La forte augmentation de l’offre a également provoqué une désancrage rapide du prix de USR.
4. Nom du projet : Saga (montant volé : environ 7 millions USD, janvier 2026)
Raison du vol : L’élément central de cette attaque réside dans une défaillance de la logique de vérification du pont interchaînes basé sur les précompilations EVM.
SagaEVM utilise une implémentation EVM basée sur Ethermint, au sein de laquelle subsistait une vulnérabilité non détectée, affectant la logique de vérification des transactions du pont interchaînes.
Les attaquants ont construit une transaction spécifique permettant de contourner les vérifications relatives à « l’existence effective d’un dépôt d’actifs en garantie » et aux « limites d’offre de stablecoins » dans le processus de pontage.
Lorsque ces vérifications sont contournées, le système traite ces messages falsifiés comme des opérations interchaînes légitimes et procède à la frappe du nombre correspondant de stablecoins. Sans garantie réelle, les attaquants peuvent ainsi frapper massivement des stablecoins à coût nul, puis les échanger contre des actifs réels du protocole.
Finalement, les fonds du protocole ont été progressivement drainés, le stablecoin a perdu son ancrage, et environ 7 millions de dollars américains ont été transférés.
5. Nom du projet : Solv (montant volé : environ 2,5 millions USD, mars 2026)
Raison du vol : L’élément central de cette attaque réside dans une vulnérabilité de double frappe (déclenchée par une réentrance) au sein du contrat BRO Vault.
Plus précisément, lorsque le contrat reçoit des actifs ERC-3525, il appelle doSafeTransferIn ; or, étant basé sur ERC-721, le transfert sécurisé déclenche le rappel onERC721Received.
Dans ce processus, le contrat exécute une frappe dans le flux principal, puis déclenche une seconde frappe dans la fonction de rappel.
Comme le rappel intervient avant que la première frappe ne soit totalement finalisée, les attaquants peuvent déclencher deux frappes dans une seule opération de dépôt, créant ainsi un chemin classique de réentrance. En exploitant répétitivement cette vulnérabilité, les attaquants ont amplifié une petite quantité d’actifs en une grande quantité de BRO, qu’ils ont ensuite échangés contre SolvBTC puis transférés.
6. Nom du projet : Aave (impact indirect, risque de créances douteuses estimé entre 177 et 236 millions USD, avril 2026)
Raison du vol : La vulnérabilité directe ne réside pas dans Aave, mais dans l’échec du mécanisme de vérification du pont interchaînes de Kelp DAO.
Les attaquants ont envoyé un message falsifié au pont interchaînes basé sur LayerZero, amenant le système à libérer et frapper environ 116 500 rsETH sans dépôt réel d’ETH. Ces rsETH, dépourvus de soutien réel, étaient néanmoins traités comme des actifs garantis normaux au sein du système.
Les attaquants ont ensuite déposé ces rsETH non garantis sur Aave comme garantie et emprunté de gros volumes d’actifs réels (WETH). Comme les paramètres d’Aave autorisaient des opérations massives de garantie et d’emprunt, les attaquants ont pu compléter l’emprunt et transférer les fonds en un temps record.
Le résultat final est que les attaquants ont transféré le risque vers Aave via le schéma « garantie falsifiée → emprunt d’actifs réels », générant ainsi des créances douteuses à grande échelle.
7. Nom du projet : YieldBlox (montant volé : environ 10,2 millions USD, février 2026)
Raison du vol : L’élément central de cette attaque réside dans la manipulation du prix fourni par l’oracle via une seule transaction (liquidité faible + mécanisme VWAP).
Au moment de l’attaque, la paire USTRY/USDC ne disposait pratiquement d’aucune liquidité, et aucun échange normal n’avait eu lieu dans la fenêtre temporelle de l’oracle. YieldBlox utilise l’oracle Reflector, basé sur le prix pondéré par le volume (VWAP), ce qui signifie que, dans ces conditions, une seule transaction peut déterminer le prix.
Les attaquants ont d’abord placé un ordre à un prix extrême (environ 500 USDC / USTRY), puis ont réalisé une transaction avec un autre compte, avec un volume extrêmement réduit (environ 0,05 USTRY), faisant ainsi monter le prix de l’oracle à environ 106 USD.
Une fois le prix artificiellement gonflé, les USTRY détenus par les attaquants ont été considérés par le système comme une garantie de haute valeur, leur accordant ainsi une capacité d’emprunt largement supérieure à leur valeur réelle. Les attaquants ont alors emprunté directement l’intégralité des actifs du pool (XLM et USDC), accomplissant ainsi le retrait des fonds.
8. Nom du projet : Step Finance (montant volé : environ 30 à 40 millions USD, janvier 2026)
Raison du vol : L’élément central de cette attaque réside dans la compromission des appareils des membres clés du projet, entraînant la perte de contrôle des clés privées ou du processus de signature.
Les attaquants ont infiltré les appareils des cadres dirigeants de l’équipe, obtenant ainsi un accès au portefeuille de contrôle du projet. Cet accès pouvait inclure soit l’obtention directe des clés privées, soit l’injection de logiciels malveillants interférant avec le processus de signature des transactions, amenant les responsables à approuver des transactions malveillantes sans en avoir conscience.
Une fois le contrôle acquis, les attaquants ont effectué des opérations sur plusieurs portefeuilles Solana gérés par le projet, notamment le déverrouillage (unstake) des actifs et leur transfert hors chaîne. Aucune vulnérabilité de contrat intelligent n’était impliquée : le transfert des fonds a été réalisé directement en exploitant les autorisations déjà obtenues sur les portefeuilles.
Finalement, les fonds du projet ont été massivement transférés, causant une perte d’environ 30 millions de dollars américains et provoquant une chute importante du cours du jeton.
9. Nom du projet : Truebit (montant volé : environ 26 millions USD, janvier 2026)
Raison du vol : L’élément central de cette attaque réside dans une vulnérabilité d’overflow d’entiers dans la fonction de tarification d’achat de TRU.
Dans le calcul du prix d’achat dans buyTRU(), plusieurs multiplications et additions sur de grands nombres sont impliquées, mais le contrat utilise la version Solidity 0.6.10, qui ne comporte pas par défaut de vérification d’overflow.
Lorsque les attaquants fournissent un paramètre particulier de grande amplitude, une valeur intermédiaire dépasse la capacité maximale, provoquant un débordement (wrap around) et réduisant anormalement le prix d’achat calculé final, voire le ramenant à zéro.
Dans ces conditions, les attaquants peuvent acheter d’énormes quantités de TRU à un coût extrêmement faible, voire nul.
Le mécanisme de vente (sellTRU()) du protocole, quant à lui, continue de fonctionner selon les règles normales, permettant d’échanger proportionnellement les réserves d’ETH détenues par le contrat.
Les attaquants ont ensuite répété plusieurs fois la séquence suivante :
👉 Achat bon marché / gratuit de TRU → Vente au prix normal → Extraction d’ETH
Grâce à plusieurs itérations, ils ont progressivement drainé les fonds du protocole, causant finalement une perte d’environ 26 millions de dollars américains.
10. Nom du projet : Makina (montant volé : environ 4,1 millions USD, janvier 2026)
Raison du vol : L’élément central de cette attaque réside dans la dépendance à des données externes provenant de pools Curve pour le calcul de l’AUM (actif sous gestion) et du sharePrice, sans vérification adéquate, rendant le système vulnérable à des manipulations par prêt flash.
Les attaquants ont emprunté de gros volumes via des prêts flash, puis injecté temporairement de la liquidité dans plusieurs pools Curve et effectué des transactions afin de modifier artificiellement l’état des pools et les résultats des calculs associés (comme la valeur des LP ou les résultats des calculs de retrait).
Ces données manipulées ont été directement utilisées par le protocole pour calculer l’AUM (Actif Sous Gestion), ce qui a ensuite influencé le sharePrice.
En l’absence de vérification efficace ou de traitement pondéré temporel des données externes, le système a pris ces données anormales pour des valeurs réelles, entraînant :
- Une inflation importante de l’AUM
- Une amplification anormale du sharePrice
Une fois le sharePrice artificiellement gonflé, les attaquants ont exploité cet écart de prix pour réaliser des arbitrages, retirant les actifs du pool DUSD/USDC afin d’en tirer profit.
III. Tendances communes et enseignements tirés des 20 vols analysés
À travers ces 20 incidents, une tendance de plus en plus nette émerge : les pirates n’ont essentiellement que deux chemins pour dérober des sommes colossales — les vulnérabilités techniques et l’ingénierie sociale.
1️⃣ Vulnérabilités techniques : l’analyse chronologique des cas techniques révèle une trajectoire claire de déplacement.
Au départ, les vulnérabilités techniques étaient fortement concentrées sur les ponts interchaînes, infrastructure alors en pleine expansion dans le domaine DeFi, dotée de code récent et rarement audité. Ces ponts transportaient d’importants volumes d’actifs, sans avoir encore subi suffisamment de tests adverses.
Par la suite, l’industrie a commencé à accorder plus d’attention à la sécurité des ponts interchaînes, renforçant généralement leurs mécanismes de vérification, ce qui a sensiblement réduit les grandes vulnérabilités techniques liées aux ponts. Toutefois, les vulnérabilités n’ont pas disparu : elles se sont simplement déplacées — vers la logique mathématique interne des protocoles DeFi, la conception des oracles et les dépendances vis-à-vis de bibliothèques tierces.
- Cetus : erreur dans la gestion des conditions limites d’une bibliothèque mathématique,
- Truebit : overflow d’entiers lié à une ancienne version du compilateur,
- YieldBlox : confiance excessive de l’oracle envers les marchés à faible liquidité.
La réalité sous-jacente est unique : la surface d’attaque suit toujours les actifs, suit toujours la nouveauté du code, suit toujours les zones aveugles des audits. Lorsqu’une catégorie d’infrastructures est massivement attaquée, que l’industrie commence à la prendre au sérieux et que les défenses s’en trouvent renforcées, les attaquants migrent vers le prochain secteur en pleine croissance, le plus faiblement défendu.
2️⃣ Ingénierie sociale : parmi ces 20 cas de vol, quatre ont été confirmés ou fortement attribués à des organisations nord-coréennes de hackers — Ronin, WazirX, Bybit et Drift — pour des pertes cumulées dépassant 2,5 milliards de dollars américains.
Selon les données de Chainalysis, les organisations nord-coréennes de hackers ont dérobé plus de 2 milliards de dollars américains d’actifs cryptographiques rien qu’en 2025, représentant près de 60 % du total mondial des vols cryptographiques cette année-là. Comparé à 2024, le nombre d’attaques nord-coréennes a chuté de 74 %, mais le montant moyen par attaque a fortement augmenté.
Les méthodes employées par ces hackers évoluent également constamment : de l’intrusion directe dans les systèmes internes observée lors de l’attaque contre Ronin, à l’attaque de la chaîne d’approvisionnement lors de l’incident Bybit, jusqu’à l’infiltration physique sur six mois dans le cas de Drift, chaque nouvelle attaque trouve une voie innovante en dehors des défenses existantes.
Encore plus inquiétant : les hackers nord-coréens implantent à grande échelle des agents dormants, se faisant passer pour des développeurs, au sein de l’industrie cryptographique mondiale. Une fois intégrés dans une entreprise cible, ces individus étudient en profondeur l’architecture interne du système, obtiennent des accès aux dépôts de code et implantent discrètement des portes dérobées dans le code de production.
L’ampleur des impacts s’étend : les premiers vols affectaient essentiellement le protocole lui-même, mais avec la profondeur croissante de la composition DeFi, les effets d’un point de défaillance commencent à se propager à l’extérieur.
- Drift : après le vol, au moins 20 protocoles dépendants de sa liquidité ou de ses stratégies ont connu des interruptions, des suspensions ou des pertes directes ; Carrot Protocol a vu 50 % de son TVL affecté.
- Aave : le contrat d’Aave était parfaitement sain, mais simplement parce qu’il acceptait le rsETH de Kelp DAO comme garantie, l’échec de vérification externe du pont s’est directement traduit par un risque de créances douteuses pour Aave.
Ces tendances révèlent une réalité fondamentale : déposer des actifs dans un protocole ne signifie pas seulement faire confiance à son code. Cela signifie aussi faire confiance à chacun des actifs externes qu’il utilise, à chacun des services tiers dont il dépend, et surtout au jugement et à la sécurité opérationnelle des personnes détenant les privilèges de gestion.
Récemment, les nouvelles de vols se succèdent à un rythme effréné. Polymarket vient tout juste de lancer ce mois-ci le marché prédictif « Y aura-t-il eu un projet de la sphère crypto volé pour plus de 100 millions USD cette année ? », et le marché s’est déjà réglé avant même la fin du mois. Ce n’est pas un hasard : la masse d’actifs DeFi augmente, les dépendances entre protocoles s’approfondissent, mais la capacité à protéger ces fonds ne suit pas ce rythme.
La pression sécuritaire ne diminue pas, tandis que la complexité des menaces ne cesse de croître. En avril 2026, Anthropic a publié la version préliminaire de Claude Mythos, qui, lors de ses tests, a découvert des milliers de vulnérabilités critiques dans chaque système d’exploitation et navigateur grand public, et a réussi à transformer 72 % des vulnérabilités connues en vecteurs d’attaque exploitables.
Une fois cette capacité déployée systématiquement pour analyser les contrats intelligents, cela signifiera que les vulnérabilités du secteur DeFi seront découvertes et exploitées à une vitesse sans précédent. Parallèlement, les équipes de projets peuvent aussi utiliser activement cet outil pour s’auto-auditer, identifier et corriger les risques potentiels avant qu’ils ne soient exploités, renforçant ainsi leur propre niveau de protection.
⏰ Pour les utilisateurs ordinaires, ces cas offrent plusieurs enseignements directs.
- N’accumulez pas vos actifs dans un seul protocole. Bien que la diversification ne supprime pas entièrement les risques, elle permet de limiter la perte maximale possible lors d’un incident isolé.
- Gardez vos distances avec les nouveaux protocoles. La plupart des vulnérabilités techniques sont détectées peu après le lancement d’un protocole. Un protocole opérationnel depuis deux ans, ayant subi plusieurs cycles d’audit et des tests de résistance réels, est bien plus sûr qu’un protocole récemment lancé promettant des rendements élevés.
- Vérifiez si le protocole génère réellement des revenus. Un protocole capable de générer des profits possède une capacité concrète à indemniser ses utilisateurs en cas de perte. En revanche, un protocole qui ne fonctionne que grâce à des incitations par jetons, sans revenus réels, ne pourra souvent proposer, en cas de sinistre, que des solutions consistant à émettre de nouveaux jetons ou à faire des promesses creuses.
Une véritable infrastructure financière mature ne place jamais la sécurité derrière les indicateurs de croissance. Jusqu’à ce jour, les nouvelles de vols ne cesseront pas.
Avertissement relatif aux risques : Le contenu de cet article est fourni à titre purement informatif et ne constitue en aucun cas un conseil en investissement. Les marchés d’actifs cryptographiques sont extrêmement volatils et les contrats intelligents comportent des risques inhérents. Veuillez prendre vos décisions de manière entièrement autonome, après avoir pleinement pris connaissance des risques associés.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@BiteyeCN
