Analyse rétrospective de 20 incidents de vol : Pourquoi les cryptomonnaies sont-elles constamment victimes de vols ?
TechFlow SélectionTechFlow Sélection
Analyse rétrospective de 20 incidents de vol : Pourquoi les cryptomonnaies sont-elles constamment victimes de vols ?
Analyse de 20 cas de piratage cryptographique, décryptage des deux voies empruntées par les attaquants, et explication du fait qu’un problème survenant dans un protocole affecte l’ensemble de l’écosystème.
Dédié à des analyses Web3 approfondiesAuteur : Changan I Équipe éditoriale de Biteye
En avril 2026, Kelp DAO a subi un vol de 292 millions de dollars américains : l’attaquant a emprunté des actifs réels sur Aave à l’aide de jetons non garantis, générant ainsi plus de 200 millions de dollars de créances douteuses en 46 minutes.
Ce cas n’est qu’un exemple parmi de nombreux vols survenus cette année : Drift (285 millions de dollars), Step Finance (environ 30 millions de dollars), Resolv Labs (environ 23 millions de dollars)… Les annonces de vols se succèdent sans relâche ; avant même que le secteur n’ait eu le temps de réagir, un nouveau projet victime d’un piratage est déjà annoncé.
Existe-t-il une logique sous-jacente à ces incidents ? Comment les pirates attaquent-ils précisément les protocoles ?
Dans cet article, nous analysons 20 cas de vols parmi les plus représentatifs de l’histoire récente, dans l’espoir d’y déceler des tendances explicatives.
À partir de ces 20 cas recensés, trois tendances claires émergent :
- La majorité des incidents résultent de vulnérabilités techniques, mais les pertes individuelles y sont relativement limitées ; en revanche, bien que moins fréquents, les attaques ciblant les privilèges ou reposant sur l’ingénierie sociale représentent la part la plus importante des pertes globales.
- L’échelle des attaques visant les privilèges ne cesse de croître. Parmi les 20 cas étudiés, les quatre incidents ayant entraîné les pertes les plus importantes impliquent tous des hackers nord-coréens.
- Le champ de bataille des vulnérabilités techniques se déplace constamment : les ponts interchaînes n’ont jamais été sécurisés.
I. Les 10 projets ayant subi les pertes les plus importantes
1. Nom du projet : Bybit (montant volé : 1,5 milliard de dollars américains | date : février 2025)
Raison du vol :
L’organisation nord-coréenne de hackers Lazarus Group (attribuée avec une forte probabilité par le FBI et ZachXBT dans le cadre de l’opération « TraderTraitor ») a contourné le mécanisme multi-signature du portefeuille Safe Wallet grâce à une combinaison de détournement d’interface utilisateur (UI) et de fraude multi-signature.
Les attaquants ont d’abord infiltré les équipements des développeurs principaux de Bybit pour injecter un code JavaScript malveillant dans l’interface frontale du portefeuille. Lorsque les détenteurs de signatures multi-signatures (six signataires au total) effectuaient des transferts habituels depuis des portefeuilles froids, l’interface affichait normalement l’adresse du destinataire et le montant concernés, mais les données sous-jacentes (« Call Data ») étaient altérées en arrière-plan, redirigeant ainsi 401 000 ETH vers l’adresse contrôlée par les attaquants. Trompés par ce principe du « ce que vous voyez n’est pas ce que vous obtenez », trois des six signataires ont approuvé la transaction, entraînant une perte immédiate des fonds.
Problème fondamental : la sécurité multi-signature repose sur l’interaction homme-machine, or l’absence de vérification indépendante côté interface frontale a rendu caduque la sécurité mathématique du système. Tether a gelé les USDT concernés en quelques heures, tandis que Circle a retardé le gel des USDC de 24 heures, aggravant ainsi les pertes. Cet incident met en lumière la menace mortelle que constituent les attaques combinant ingénierie sociale et détournement d’interface pour les bourses centralisées, et a contribué à l’émergence de réseaux de validation des transactions tels que Safenet.
Cet événement suit un schéma très similaire à celui du protocole Drift (avril 2026, 285 millions de dollars américains) : infiltration ciblée par ingénierie sociale afin d’établir une relation de confiance, suivie d’une fraude sur l’interface ou les signatures — marquant ainsi une transition des attaques basées sur des vulnérabilités contractuelles vers celles exploitant les « faiblesses humaines et machine ».
Dans le cadre de la gestion post-incident, Bybit a rapidement mobilisé ses propres fonds pour compenser intégralement toutes les pertes, garantissant ainsi zéro perte pour ses utilisateurs ; la plateforme fonctionne aujourd’hui de façon stable.
2. Nom du projet : Ronin Network (montant volé : 624 millions de dollars américains | date : mars 2022)
Raison du vol : l’organisation nord-coréenne de hackers Lazarus Group a utilisé l’ingénierie sociale et des portes dérobées pour prendre totalement le contrôle des clés privées des nœuds validateurs.
Les attaquants ont pénétré le système interne de Sky Mavis et exploité une porte dérobée présente dans un nœud RPC exempt de frais de gaz afin de contrôler cinq des neuf nœuds validateurs (dont quatre appartenant à Sky Mavis et un à Axie DAO). Ils ont ensuite fabriqué deux transactions de retrait falsifiées permettant de retirer illégalement 173 600 ETH et 25,5 millions de USDC.
La cause fondamentale de cet incident réside dans la concentration excessive des droits de validation dans la conception du pont interchaînes. Dans un système où cinq signatures sur neuf suffisent pour valider une opération, un tel seuil devient pratiquement inopérant face à une attaque ciblée par ingénierie sociale.
3. Nom du projet : Poly Network (montant volé : 611 millions de dollars américains | date : août 2021)
Raison du vol : la cause principale du vol subi par Poly Network était une grave faille dans la gestion des autorisations au sein des contrats interchaînes.
L’attaquant a exploité la relation entre deux contrats hautement privilégiés — EthCrossChainManager et EthCrossChainData — afin de falsifier un appel de fonction exécutable. Comme EthCrossChainManager possédait lui-même l’autorisation de modifier la clé publique du « Keeper », et que le paramètre _method utilisé lors de l’appel pouvait être défini librement par l’utilisateur, l’attaquant a pu générer une collision de hachage permettant d’invoquer avec succès la fonction putCurEpochConPubKeyBytes, normalement réservée aux privilèges élevés.
Ainsi, l’attaquant a remplacé la clé publique du gestionnaire légitime par la sienne propre, prenant le contrôle des actifs interchaînes et transférant finalement des fonds provenant de plusieurs chaînes.
4. Nom du projet : Wormhole (montant volé : 326 millions de dollars américains | date : février 2022)
Raison du vol : dans des conditions normales, lorsqu’un utilisateur souhaite transférer des actifs d’une chaîne à une autre, le système doit d’abord vérifier que ces actifs ont bien été déposés et que les signatures associées sont effectivement valides ; seulement alors peut-on générer les actifs correspondants sur la chaîne cible.
Le problème de Wormhole résidait précisément dans cette étape de « vérification des signatures ». Le code de Wormhole utilisait une fonction obsolète et insuffisamment sécurisée pour vérifier la légitimité des transactions. Cette fonction avait pour rôle initial de confirmer si la signature avait bien été effectuée préalablement. Toutefois, sa vérification n’était pas rigoureuse, offrant ainsi une brèche exploitable par les attaquants.
Ces derniers ont profité de cette vulnérabilité pour forger un ensemble d’informations donnant l’illusion d’une « validation réussie », induisant ainsi le système en erreur quant à la légitimité de l’opération interchaînes. Autrement dit, le système aurait dû d’abord vérifier que « les fonds avaient bien été effectivement verrouillés », mais comme l’étape de vérification avait été contournée, il a cru aveuglément à la preuve frauduleuse fournie par l’attaquant.
Par conséquent, l’attaquant a pu créer de la wETH ex nihilo, sans avoir réellement déposé d’actifs suffisants. Ces actifs ont ensuite été transférés et échangés, causant finalement une perte d’environ 326 millions de dollars américains à Wormhole.
5. Nom du projet : Drift Protocol (montant volé : 285 millions de dollars américains | date : avril 2026)
Raison du vol : une organisation de hackers nord-coréens (DPRK), après six mois d’infiltration ciblée, a mené l’attaque en exploitant la mécanique Solana Durable Nonce et une escroquerie de pré-signature.
Depuis l’automne 2025, les attaquants se sont fait passer pour une société de trading quantitatif, établissant des relations de confiance en personne avec des contributeurs de Drift lors de plusieurs conférences cryptographiques internationales, tout en investissant plus d’un million de dollars américains dans le « Ecosystem Vault » afin de renforcer leur crédibilité. Une fois cette confiance obtenue, ils ont incité des membres du Conseil de sécurité à pré-approuver plusieurs transactions apparemment anodines : en tirant parti du mécanisme Solana Durable Nonce, ils y avaient dissimulé des instructions de transfert de droits de gestion. Parallèlement, Drift venait juste de migrer vers une multi-signature à latence nulle, supprimant ainsi toute fenêtre de détection ou d’intervention a posteriori.
Une fois les droits de gestion du protocole acquis, les attaquants ont créé un faux jeton CVT doté d’une liquidité réelle inférieure à quelques centaines de dollars, puis ont artificiellement gonflé son cours via des achats et ventes simulés. Ensuite, ils ont déposé 500 millions de CVT comme collatéral dans le protocole, empruntant ainsi 285 millions de dollars américains en USDC, SOL et ETH. L’ensemble de cette phase d’exécution n’a duré que 12 minutes.
L’équipe de sécurité SEAL 911 et Drift attribuent officiellement cette attaque à cette organisation liée à la RPDC (organisation nord-coréenne soutenue par l’État) avec une « confiance modérée à élevée ». Les exécutants n’étaient pas des ressortissants nord-coréens eux-mêmes, mais des intermédiaires tiers contrôlés par cette organisation pour les contacts physiques.
6. Nom du projet : WazirX (montant volé : 235 millions de dollars américains | date : juillet 2024)
Raison du vol : le cœur de cette attaque résidait dans la compromission progressive du portefeuille multi-signature, suivi de son remplacement par un contrat malveillant.
Les attaquants ont d’abord obtenu l’accès à certains signataires via des campagnes de phishing (y compris des intrusions directes et des manipulations induisant des signatures). Sur cette base, ils ont ensuite trompé d’autres signataires à l’aide d’interfaces usurpées, les amenant à approuver sans le savoir des transactions malveillantes.
Une fois le nombre requis de signatures collecté, les attaquants n’ont pas transféré directement les actifs, mais ont plutôt exploité le mécanisme de « mise à jour » du portefeuille multi-signature afin d’exécuter une opération de mise à niveau du contrat, remplaçant le contrat d’implémentation d’origine par leur propre contrat malveillant.
Une fois ce contrat malveillant défini comme nouvelle logique d’exécution, toutes les transactions ultérieures étaient redirigées vers l’adresse contrôlée par les attaquants, entraînant un transfert continu des fonds. Finalement, le contrôle total du portefeuille multi-signature a été pris, et les actifs présents sur la chaîne ont été progressivement transférés.
7. Nom du projet : Cetus (montant volé : 223 millions de dollars américains | date : mai 2025)
Raison du vol : cette attaque découlait d’une vulnérabilité d’overflow arithmétique dans le calcul de liquidité.
Plus précisément, la fonction mathématique utilisée par Cetus pour traiter des valeurs élevées présentait une erreur dans la vérification des limites. Lorsqu’une valeur atteignait exactement la limite critique, le système ne parvenait pas à identifier correctement l’overflow imminent et poursuivait néanmoins le calcul, produisant un résultat anormalement amplifié.
Les attaquants ont construit une séquence d’opérations autour de ce point faible : ils ont d’abord provoqué des conditions extrêmes de prix via des transactions de grande ampleur, puis ont créé une position de liquidité dans une plage spécifique en déposant une quantité minuscule d’actifs (au niveau « dust »). Dans ces conditions, l’overflow a été déclenché dans le contrat, conduisant le système à estimer que l’attaquant devait recevoir une part de liquidité largement supérieure à ses dépôts réels.
Ensuite, les attaquants ont exploité ces parts artificiellement gonflées pour retirer leur liquidité, extrayant ainsi des actifs bien supérieurs à leurs dépôts initiaux depuis le pool. Ce processus pouvait être répété, drainant continuellement les fonds du pool jusqu’à engendrer des pertes massives.
8. Nom du projet : Gala Games (montant volé : 216 millions de dollars américains | date : mai 2024)
Raison du vol : le cœur de cette attaque résidait dans la compromission de la clé privée d’un compte de frappe (mint) disposant de privilèges élevés, entraînant une défaillance du contrôle d’accès.
Le contrat de Gala comportait effectivement des restrictions d’accès à la fonction de frappe, mais la clé privée d’un compte habilité à frapper (« minter account ») avait été compromise par les attaquants. Ce compte, bien qu’inutilisé depuis longtemps, conservait encore des privilèges complets.
Une fois le contrôle de ce compte obtenu, les attaquants ont invoqué directement la fonction de frappe du contrat pour créer environ 5 milliards de jetons GALA, qu’ils ont transférés vers leur adresse personnelle. Ensuite, ils ont échangé ces jetons par lots contre de l’ETH sur les marchés, réalisant ainsi un gain financier.
Aucune vulnérabilité de contrat intelligent n’a été exploitée au cours de ce processus ; l’opération malveillante a été exécutée directement via des permissions légitimes.
9. Nom du projet : Mixin Network (montant volé : 200 millions de dollars américains | date : septembre 2023)
Raison du vol : le cœur de cette attaque résidait dans le stockage des clés privées dans une base de données cloud centralisée.
Mixin Network prétendait être maintenu conjointement par 35 nœuds principaux, prenant en charge les transferts interchaînes pour 48 blockchains publiques. Toutefois, les clés privées de ses portefeuilles chauds et de nombreux adresses de dépôt étaient stockées « de manière récupérable » dans une base de données gérée par un fournisseur de services cloud tiers. Dans la nuit du 23 septembre 2023, les attaquants ont infiltré cette base de données et extrait massivement ces clés privées.
Une fois en possession des clés privées, les attaquants n’ont eu besoin de craquer aucune logique contractuelle : ils ont simplement signé légitimement des transactions de transfert. Les registres sur chaîne montrent qu’ils ont vidé les adresses selon l’ordre décroissant de leurs soldes, effectuant plus de 10 000 transactions sur plusieurs heures. Les principaux actifs concernés comprenaient environ 95,3 millions de dollars américains en ETH, 23,7 millions de dollars américains en BTC et 23,6 millions de dollars américains en USDT, ce dernier ayant été rapidement échangé contre du DAI afin d’éviter tout gel.
10. Nom du projet : Euler Finance (montant volé : 197 millions de dollars américains | date : mars 2023)
Raison du vol : le cœur de cette attaque résidait dans une incohérence entre la logique de calcul des actifs et des passifs au sein du protocole, amplifiée par un prêt flash.
Plus précisément, la fonction DonateToReserve d’Euler, lors de son exécution, détruisait uniquement les eToken représentant les actifs mis en garantie, sans détruire simultanément les dToken représentant les dettes, rompant ainsi la correspondance entre « garantie » et « dette » au sein du système.
Dans ce contexte, le protocole estimait à tort que les actifs garantis avaient diminué et que la structure des dettes avait changé, générant un état anormal des actifs.
Les attaquants ont construit une séquence complète d’opérations autour de ce point faible : ils ont d’abord emprunté de grandes sommes via un prêt flash, effectué des dépôts et des emprunts au sein du protocole, ajustant répétitivement la relation quantitative entre eToken et dToken. En exploitant cette faille logique, le système a continué à produire des états erronés d’actifs/dettes, leur octroyant ainsi un pouvoir d’emprunt dépassant largement leur capacité réelle de garantie.
Une fois cette capacité d’emprunt anormalement accrue obtenue, les attaquants ont retiré progressivement les fonds, les convertissant en plusieurs actifs (DAI, USDC, stETH, wBTC). L’ensemble du processus s’est déroulé dans une seule transaction, mais a été répété plusieurs fois pour amplifier les gains, entraînant finalement une perte d’environ 197 millions de dollars américains.
II. Les 10 projets récemment victimes de vols
1. Nom du projet : Hyperbridge (montant volé : environ 2,5 millions de dollars américains, avril 2026)
Raison du vol : Le cœur de cet incident réside dans une défaillance de la logique de vérification des preuves au sein de la passerelle de jetons (Token Gateway).
Les attaquants ont exploité l’absence de vérification des entrées dans la vérification des preuves MMR (Merkle Mountain Range), forgeant ainsi une preuve interchaînes qui n’aurait jamais dû être acceptée. En raison d’un traitement erroné de cette preuve invalide comme valide, les attaquants ont obtenu les droits de gestion du contrat DOT bridgé sur Ethereum, puis ont frappé environ 1 milliard de jetons DOT bridgés falsifiés, qu’ils ont vendus sur les DEX.
Cette attaque a également affecté les pools DOT sur Ethereum, Base, BNB Chain et Arbitrum. L’estimation initiale des pertes, d’environ 237 000 dollars américains, a ensuite été révisée à environ 2,5 millions de dollars américains.
2. Nom du projet : Venus Protocol (montant volé : environ 3,7 à 5 millions de dollars américains, mars 2026)
Raison du vol : Le cœur de cette attaque réside dans la possibilité de contourner la vérification du « supply cap » (plafond d’émission), combinée à l’exploitation de la logique de calcul du taux de change (« exchange rate »).
Plus précisément, Venus calcule les fonds disponibles sur le marché en lisant directement le solde réel du contrat via balanceOf() ; toutefois, la vérification du « supply cap » n’est effectuée que dans le flux mint().
Les attaquants ont contourné mint() en transférant directement des actifs sous-jacents (transfert ERC-20) vers le contrat vToken, évitant ainsi la vérification du « supply cap ».
Comme ces fonds sont comptabilisés dans le solde du contrat, le système considère, lors du calcul du « exchange rate », que les actifs du pool ont augmenté, sans pour autant que le nombre de vToken correspondant ait augmenté, ce qui conduit à une augmentation anormale du taux de change.
Dans ce scénario, la valeur des actifs mis en garantie détenus par l’attaquant est artificiellement gonflée, lui accordant ainsi une capacité d’emprunt nettement supérieure à la réalité.
Ensuite, les attaquants ont exploité cette valeur de garantie amplifiée pour effectuer des cycles répétés d’emprunt → hausse artificielle des cours → nouvel emprunt, extrayant ainsi divers actifs du protocole et causant finalement une perte d’environ 5 millions de dollars américains.
3. Nom du projet : Resolv Labs (montant volé : environ 23 à 25 millions de dollars américains, mars 2026)
Raison du vol : Le cœur de cette attaque réside dans la compromission de la clé privée de signature critique, couplée à l’absence de vérification des plafonds de frappe au sein du contrat sur chaîne.
Le processus de frappe de USR chez Resolv dépend d’un service hors chaîne : l’utilisateur soumet d’abord une demande, qui est ensuite signée par un système détenant une clé privée privilégiée (« SERVICE_ROLE »), avant que le contrat n’exécute la frappe.
Or le contrat ne vérifie que « la validité de la signature », sans contrôler « la raisonnable de la quantité frappée », ni appliquer de ratio de garantie, d’oracle de prix ou de limite maximale de frappe.
Les attaquants ont infiltré l’infrastructure cloud du projet et obtenu cette clé privée de signature, leur permettant ainsi de générer légitimement des signatures à volonté.
Une fois en possession de cette autorité de signature, les attaquants ont utilisé une petite quantité d’USDC (environ 100 000 à 200 000 dollars américains) comme entrée, falsifié les paramètres et frappé directement environ 80 millions de jetons USR non garantis.
Ensuite, ces USR non garantis ont été rapidement échangés contre d’autres stablecoins, puis contre de l’ETH, les fonds étant progressivement transférés. Parallèlement, l’offre massive supplémentaire a provoqué une désancre rapide du prix de l’USR.
4. Nom du projet : Saga (montant volé : environ 7 millions de dollars américains, janvier 2026)
Raison du vol : Le cœur de cette attaque réside dans une défaillance de la logique de vérification du pont interchaînes basé sur un « precompile EVM ».
SagaEVM utilise une implémentation EVM basée sur Ethermint, dans laquelle un bug non détecté auparavant affectait la logique de vérification des transactions interchaînes.
Les attaquants ont construit des transactions spécifiques permettant de contourner les vérifications relatives à « l’existence effective d’un dépôt de garantie » et aux « limites d’offre de stablecoins » au sein du pont.
Lorsque ces vérifications sont contournées, le système traite ces messages falsifiés comme des opérations interchaînes légitimes et procède à la frappe du nombre correspondant de stablecoins. Sans garantie réelle, les attaquants peuvent frapper massivement des stablecoins à coût nul, puis les échanger contre des actifs réels du protocole.
Finalement, les fonds du protocole ont été continuellement drainés, le stablecoin a perdu son ancrage, et environ 7 millions de dollars américains ont été transférés.
5. Nom du projet : Solv (montant volé : environ 2,5 millions de dollars américains, mars 2026)
Raison du vol : Le cœur de cette attaque réside dans une vulnérabilité de double frappe (déclenchée par une réentrance) au sein du contrat BRO Vault.
Plus précisément, lorsqu’il reçoit des actifs ERC-3525, le contrat appelle doSafeTransferIn, et comme ERC-3525 repose sur ERC-721, le transfert sécurisé déclenche le rappel onERC721Received.
Dans ce processus, le contrat exécute une frappe dans le flux principal, tout en déclenchant une seconde frappe dans la fonction de rappel.
Comme le rappel intervient avant que la première frappe ne soit complètement finalisée, l’attaquant peut déclencher deux frappes au cours d’un seul dépôt, créant ainsi un chemin classique de réentrance. En exploitant répétitivement cette vulnérabilité, l’attaquant transforme une petite quantité d’actifs en une grande quantité de BRO, qu’il échange ensuite contre du SolvBTC et transfère hors du protocole.
6. Nom du projet : Aave (impact indirect, risque de créances douteuses estimé entre 177 et 236 millions de dollars américains, avril 2026)
Raison du vol : La vulnérabilité directe ne réside pas dans Aave, mais dans l’échec du mécanisme de vérification du pont interchaînes de Kelp DAO.
Les attaquants ont envoyé un message falsifié au pont interchaînes basé sur LayerZero, amenant le système à libérer et frapper environ 116 500 rsETH sans dépôt réel d’ETH. Ces rsETH, dépourvus de support actif réel, ont néanmoins été utilisés dans le système comme garantie normale.
Ensuite, les attaquants ont déposé ces rsETH non garantis sur Aave comme collatéral et emprunté de grands volumes d’actifs réels (WETH). Comme les paramètres d’Aave autorisaient des niveaux importants de garantie et d’emprunt, les attaquants ont pu réaliser rapidement ces emprunts et transférer les fonds.
Le résultat final est que les attaquants ont transféré le risque vers Aave via une stratégie de « garantie falsifiée → emprunt d’actifs réels », générant ainsi des créances douteuses massives.
7. Nom du projet : YieldBlox (montant volé : environ 10,2 millions de dollars américains, février 2026)
Raison du vol : Le cœur de cette attaque réside dans la manipulation du prix fourni par l’oracle via une seule transaction (liquidité faible + mécanisme VWAP).
Au moment de l’attaque, la paire USTRY/USDC était presque totalement dépourvue de liquidité, et aucun échange normal n’avait eu lieu dans la fenêtre temporelle de l’oracle. YieldBlox utilisait l’oracle Reflector, fondé sur le VWAP (prix pondéré par le volume), ce qui signifie que, dans ce contexte, une seule transaction pouvait déterminer entièrement le prix.
Les attaquants ont d’abord placé un ordre à un prix extrême (environ 500 USDC / USTRY), puis ont exécuté une transaction avec un autre compte à un volume extrêmement réduit (environ 0,05 USTRY), parvenant ainsi à faire monter le prix de l’oracle à environ 106 dollars américains.
Une fois le prix artificiellement gonflé, les USTRY détenus par l’attaquant ont été considérés par le système comme une garantie de haute valeur, lui octroyant ainsi une capacité d’emprunt largement supérieure à leur valeur réelle. Ensuite, l’attaquant a emprunté directement l’intégralité des actifs du pool (XLM et USDC), achevant ainsi le retrait des fonds.
8. Nom du projet : Step Finance (montant volé : environ 30 à 40 millions de dollars américains, janvier 2026)
Raison du vol : Le cœur de cette attaque réside dans la compromission des équipements des membres clés du projet, entraînant une perte de contrôle des clés privées ou des processus de signature.
Les attaquants ont infiltré les équipements des dirigeants de l’équipe, obtenant ainsi un accès au portefeuille de contrôle du projet. Cet accès pouvait inclure l’obtention directe des clés privées ou l’installation de programmes malveillants interférant avec le processus de signature des transactions, amenant les responsables à approuver, sans le savoir, des transactions malveillantes.
Une fois le contrôle obtenu, les attaquants ont opéré sur plusieurs portefeuilles Solana contrôlés par le projet, notamment en annulant le verrouillage (« unstake ») des actifs et en transférant les fonds. Aucune vulnérabilité de contrat intelligent n’a été impliquée dans ce processus : le transfert des fonds a été réalisé directement via les autorisations de portefeuille déjà acquises.
Finalement, les fonds du projet ont été transférés massivement, entraînant une perte d’environ 30 millions de dollars américains et une chute importante du cours du jeton.
9. Nom du projet : Truebit (montant volé : environ 26 millions de dollars américains, janvier 2026)
Raison du vol : Le cœur de cette attaque réside dans une vulnérabilité d’overflow d’entiers au sein de la fonction de tarification d’achat de TRU.
Dans le calcul du prix d’achat dans buyTRU(), plusieurs multiplications et additions de grands nombres sont impliquées, mais le contrat est compilé avec Solidity 0.6.10, qui ne comporte pas par défaut de vérification d’overflow.
Lorsque l’attaquant transmet un paramètre particulier de grande valeur, une valeur intermédiaire déborde, provoquant un « wrap around » (rebouclage), ce qui conduit à un prix d’achat anormalement abaissé, voire nul.
Dans ce cas, l’attaquant peut acheter de grandes quantités de TRU à un coût extrêmement faible, voire gratuit.
Par ailleurs, la logique de vente (sellTRU()) du protocole continue de fonctionner selon les règles normales, permettant d’échanger proportionnellement les réserves d’ETH détenues par le contrat.
L’attaquant exécute ensuite de multiples cycles :
👉 Acheter TRU à bas prix ou gratuitement → Vendre TRU au prix normal → Retirer de l’ETH
Grâce à ces itérations, il draine continuellement les fonds du protocole, causant finalement une perte d’environ 26 millions de dollars américains.
10. Nom du projet : Makina (montant volé : environ 4,1 millions de dollars américains, janvier 2026)
Raison du vol : Le cœur de cette attaque réside dans le calcul de l’AUM (« Assets Under Management ») et du « sharePrice » à partir des données externes des pools Curve, sans vérification adéquate, ce qui permet une manipulation via prêt flash.
Les attaquants ont emprunté de grandes sommes via un prêt flash, puis ont temporairement injecté de la liquidité dans plusieurs pools Curve et effectué des transactions, modifiant artificiellement l’état des pools et les résultats des calculs associés (valeur des LP, résultats du calcul de retrait, etc.).
Ces données manipulées sont directement utilisées par le protocole pour calculer l’AUM (« Assets Under Management »), influençant à leur tour le « sharePrice ».
En l’absence de vérification efficace ou de pondération temporelle des données externes, le système prend ces données anormales pour des valeurs réelles, entraînant ainsi :
- Une inflation massive de l’AUM
- Une amplification anormale du « sharePrice »
Une fois le « sharePrice » artificiellement gonflé, l’attaquant exploite cette différence de prix pour réaliser un arbitrage, retirant les actifs du pool DUSD/USDC afin d’en tirer profit.
III. Tendances communes et enseignements tirés des 20 vols analysés
À travers ces 20 incidents, une tendance de plus en plus claire émerge : les pirates n’ont fondamentalement que deux chemins pour s’emparer d’actifs massifs : les vulnérabilités techniques et l’ingénierie sociale.
1️⃣ Vulnérabilités techniques : la distribution temporelle de ces cas révèle une trajectoire claire de migration.
Dans les premiers temps, les vulnérabilités techniques étaient fortement concentrées sur les ponts interchaînes, qui constituaient alors l’infrastructure DeFi la plus dynamique, la plus récente en termes de code et la moins audité. Porteurs d’importants volumes d’actifs, ils n’avaient pas encore subi suffisamment de tests adverses.
Ensuite, l’industrie a commencé à accorder davantage d’attention à la sécurité des ponts interchaînes, renforçant généralement les mécanismes de vérification, ce qui a notablement réduit les vulnérabilités techniques majeures sur ces infrastructures. Toutefois, les vulnérabilités n’ont pas disparu : elles se sont simplement déplacées — vers la logique mathématique interne des protocoles DeFi, la conception des oracles et les dépendances vis-à-vis de bibliothèques tierces.
- Cetus : mauvaise gestion des conditions limites dans une bibliothèque mathématique,
- Truebit : overflow d’entiers lié à une ancienne version du compilateur,
- YieldBlox : confiance excessive de l’oracle envers les marchés à faible liquidité.
Le fond du problème reste unique : le champ d’attaque suit toujours les actifs, suit toujours la nouveauté du code et suit toujours les zones aveugles des audits. Lorsqu’une catégorie d’infrastructures subit des attaques concentrées, que l’industrie commence à s’y intéresser et que les défenses s’en trouvent renforcées, les attaquants se déplacent vers le prochain domaine en pleine expansion et le plus vulnérable.
2️⃣ Ingénierie sociale : parmi ces 20 cas de vol, quatre ont été confirmés ou fortement attribués à des organisations nord-coréennes de hackers — Ronin, WazirX, Bybit et Drift — pour des pertes cumulées dépassant 2,5 milliards de dollars américains.
Selon les données de Chainalysis, les organisations nord-coréennes ont volé plus de 2 milliards de dollars américains en actifs cryptographiques rien qu’en 2025, représentant près de 60 % du montant total volé dans le monde cette année-là. Comparé à 2024, le nombre d’attaques nord-coréennes a chuté de 74 %, mais le montant moyen par attaque a fortement augmenté.
Les méthodes employées par les hackers nord-coréens évoluent également constamment : de l’intrusion directe dans les systèmes internes à l’époque de Ronin, à l’attaque de la chaîne d’approvisionnement lors de Bybit, puis à l’infiltration physique sur six mois dans le cas de Drift, chaque nouvelle attaque trouve un moyen innovant de contourner les défenses existantes.
Encore plus inquiétant, les hackers nord-coréens ont largement infiltré l’industrie cryptographique mondiale en plaçant des agents doubles se faisant passer pour des développeurs. Une fois intégrés dans les entreprises cibles, ces personnes étudient en profondeur la structure des systèmes internes, obtiennent des droits d’accès aux bases de code et implantent discrètement des portes dérobées dans le code de production.
L’impact des vols s’étend désormais bien au-delà des protocoles concernés : dans les premiers temps, les effets restaient généralement circonscrits au protocole lui-même, mais avec la croissance exponentielle de la composition entre protocoles DeFi, les impacts ponctuels commencent à se propager.
- Drift : après le vol, au moins 20 protocoles dépendant de sa liquidité ou de ses stratégies ont connu des interruptions, des suspensions ou des pertes directes ; Carrot Protocol a vu 50 % de son TVL affecté.
- Aave : le contrat Aave lui-même ne comportait aucune vulnérabilité, mais le simple fait d’accepter rsETH de Kelp DAO comme garantie a directement transmis le risque de créances douteuses à Aave suite à l’échec de la vérification du pont externe.
Ces tendances aboutissent toutes à une réalité : déposer des actifs dans un protocole ne signifie pas seulement faire confiance au code de ce protocole. Cela signifie aussi faire confiance à chaque actif externe sur lequel il dépend, à chaque service tiers qu’il utilise, et au jugement ainsi qu’à la sécurité opérationnelle des personnes détenant les droits de gestion.
Récemment, les nouvelles de vols se succèdent à un rythme effréné. Polymarket a lancé ce mois-ci un marché prédictif intitulé « Y aura-t-il eu, cette année, un projet de la sphère cryptographique victime d’un vol supérieur à 100 millions de dollars américains ? », et ce marché s’est déjà réglé avant même la fin du mois. Ce n’est pas un hasard : la taille des actifs DeFi augmente, les dépendances entre protocoles se renforcent, mais la capacité à protéger ces actifs n’a pas suivi ce rythme.
La pression sécuritaire ne faiblit pas, tandis que la complexité des menaces ne cesse de croître. En avril 2026, Anthropic a publié la version d’essai Claude Mythos Preview, qui, lors de ses tests, a découvert des milliers de vulnérabilités critiques dans chaque système d’exploitation et navigateur grand public, et a pu transformer 72 % des vulnérabilités connues en vecteurs d’attaque exploitables.
Une fois cette capacité déployée systématiquement sur les contrats intelligents, cela signifiera que les vulnérabilités du secteur DeFi seront découvertes et exploitées à une vitesse sans précédent. Parallèlement, les équipes de projets pourront utiliser activement cet outil pour effectuer des auto-inspections, identifier et corriger à l’avance les risques potentiels, renforçant ainsi leur propre capacité de protection.
⏰ Pour les utilisateurs ordinaires, ces cas offrent plusieurs enseignements directs.
- Ne concentrez pas vos actifs sur un seul protocole. Bien que la diversification ne supprime pas entièrement les risques, elle permet de limiter les pertes potentielles à un seul incident.
- Gardez vos distances avec les nouveaux protocoles. La plupart des vulnérabilités techniques sont découvertes peu après le lancement d’un protocole. Un protocole opérationnel depuis deux ans, ayant subi plusieurs cycles d’audit et de tests réels sous pression, est nettement plus sûr qu’un protocole récemment lancé promettant des rendements élevés.
- Vérifiez si le protocole génère réellement des revenus. Un protocole rentable dispose d’une capacité concrète à indemniser ses utilisateurs en cas de pertes. En revanche, un protocole qui ne repose que sur des incitations par jetons et ne génère aucun revenu réel ne pourra, en cas de sinistre, proposer qu’une émission de nouveaux jetons ou des promesses vagues.
Une infrastructure financière véritablement mature ne place pas la sécurité systématiquement derrière les indicateurs de croissance. Jusqu’à ce que ce jour arrive, les nouvelles de vols ne cesseront pas.
Avertissement relatif aux risques : Le contenu de cet article est fourni uniquement à titre informatif et ne constitue en aucun cas une recommandation d’investissement. Les marchés d’actifs cryptographiques sont extrêmement volatils, et les contrats intelligents comportent des risques inhérents. Veuillez prendre vos décisions en toute indépendance, après avoir pleinement évalué les risques associés.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@BiteyeCN
