Les ponts cross-chain déplacent des milliards de dollars chaque semaine. Ils relient des blockchains qui n’ont jamais été conçues pour communiquer entre elles.
Ils sont aussi, de façon constante, la catégorie la plus exploitée de toute la finance décentralisée.
En mai 2026, les ponts ont représenté environ 28,6 millions de dollars sur les quelque 70 millions de pertes totales liées aux exploits crypto du mois. Soit 42 % des dégâts, pour une catégorie qui ne détient qu’une fraction de la valeur totale verrouillée dans la DeFi.
Ce ratio n’a rien d’une anomalie.
Depuis 2021, les ponts cross-chain ont été responsables d’une part disproportionnée des plus grosses pertes individuelles de l’industrie. La liste inclut l’exploit Ronin de 624 millions de dollars en mars 2022, le vol de 320 millions de dollars sur Wormhole le mois précédent, et le hack Nomad de 190 millions de dollars en août 2022.
Ce schéma ne s’est pas interrompu.
La même architecture qui rend les ponts possibles les rend aussi particulièrement fragiles. Combler cet écart implique de repenser certaines des hypothèses de conception les plus fondamentales de la crypto.
TL;DR
- Les ponts cross-chain ont représenté 28,6 M$ sur les ~70 M$ de pertes liées aux exploits crypto de mai 2026, soit 42 % pour une seule catégorie de protocole.
- Les exploits de ponts diffèrent structurellement des hacks classiques de smart contracts, car ils imposent de faire confiance à l’état d’une chaîne que la chaîne de destination ne peut pas vérifier nativement.
- Les ponts à preuves à connaissance nulle et les systèmes de vérification optimiste offrent des atténuations crédibles, mais aucun n’est encore déployé à l’échelle nécessaire pour remplacer les conceptions vulnérables actuelles.
Pourquoi les ponts cross-chain existent et ce qu’ils font vraiment
L’écosystème blockchain a été construit en silos.
Bitcoin (BTC) a été conçu pour être autonome. Ethereum (ETH) a été construit séparément. Chaque réseau de layer 2, chaque application chain et chaque layer 1 alternatif apparu ensuite a ajouté un nouvel environnement de règlement isolé.
Les utilisateurs et les protocoles qui souhaitent déplacer de la valeur entre ces environnements ont besoin d’une infrastructure pour les relier. Cette infrastructure, c’est le pont cross-chain.
Dans sa version la plus simple, un pont fonctionne en verrouillant ou brûlant un actif sur la chaîne source et en émettant une représentation correspondante sur la chaîne de destination. Le problème, c’est que le contrat de mint sur la chaîne de destination doit faire confiance au fait que le verrouillage ou la combustion sur la chaîne source a réellement eu lieu.
Établir cette confiance est l’intégralité du problème technique.
Une chaîne n’a aucune capacité native à lire l’état d’une autre chaîne. Les ponts doivent donc s’appuyer sur des mécanismes externes pour relayer et vérifier les messages cross-chain.
Le problème central de sécurité des ponts n’est pas un bug dans un seul contrat. C’est un défi architectural fondamental : une blockchain ne peut pas vérifier nativement ce qui s’est passé sur une autre blockchain.
Ces mécanismes externes prennent plusieurs formes. Les ponts validés de l’extérieur utilisent un ensemble de validateurs ou de signataires multisig qui attestent des événements cross-chain. Les ponts vérifiés localement, comme les atomic swaps, exigent que les deux parties agissent, ce qui limite la généricité. Les ponts vérifiés nativement reposent sur des light clients de la chaîne source exécutés dans la machine virtuelle de la chaîne de destination, ce qui est coûteux techniquement. Chaque conception implique une hypothèse de confiance différente, et en pratique, la plupart des ponts déployés à grande échelle ont choisi la rapidité et le faible coût plutôt que la rigueur cryptographique.
À lire aussi : Hyperliquid Hits $1B In Daily Volume As Perp DEX Competition Intensifies
Taxonomie des exploits : comment les ponts se font réellement vider
Les exploits de ponts ne suivent pas un seul schéma.
Des chercheurs d’Immunefi ont catégorisé les hacks de ponts en trois grandes classes : vulnérabilités de smart contracts dans le code du pont lui‑même, compromission de validateurs ou de relayeurs, et défaillances de vérification cryptographique. Chaque classe exige une posture défensive différente. C’est l’une des raisons pour lesquelles aucune solution unique ne fonctionne pour toutes les conceptions de pont.
Les vulnérabilités de smart contracts sont la catégorie la plus familière.
Une fonction qui traite les messages entrants peut omettre de vérifier qu’un message cross-chain a bien été signé par l’autorité appropriée. L’exploit Wormhole de février 2022, qui a coûté 320 millions de dollars, a visé précisément cette faille. Les attaquants ont trouvé un moyen de forger une signature de “guardian” valide, contournant la vérification de signature qui était censée contrôler l’émission de tokens sur Solana (SOL).
Le rapport de sécurité annuel 2025 de Certik signale que les défaillances de validation d’entrées restent la cause racine la plus fréquente dans toutes les catégories d’exploits DeFi. Les ponts y sont particulièrement exposés, car leurs surfaces de traitement de messages sont très larges.
Les données d’Immunefi pour 2024 montrent que les ponts et protocoles de messagerie cross-chain ont représenté 1,19 milliard de dollars de pertes cette année‑là, tout en ne constituant que moins de 5 % des protocoles suivis en nombre.
Les attaques par compromission de validateurs sont structurellement différentes. Le pont Ronin, qui servait le jeu Axie Infinity, reposait sur neuf nœuds validateurs, dont cinq signatures étaient nécessaires pour autoriser les retraits. Les attaquants ont compromis cinq nœuds, quatre appartenant à Sky Mavis et un à l’Axie DAO, sur plusieurs jours, sans que le réseau ne détecte quoi que ce soit. La perte de 624 millions de dollars n’a été découverte que cinq jours plus tard, lorsqu’un utilisateur a signalé qu’il ne pouvait pas retirer. Cet incident reste le plus gros exploit DeFi en valeur absolue.
À lire aussi : AI Adoption Index Crowns Nvidia, Amazon, Meta And Schlumberger
Le paysage des incidents de mai 2026 et ce qu’il révèle
Les chiffres de mai 2026 comptent non pas parce qu’ils établissent un record, mais parce qu’ils représentent un niveau de base qui perdure malgré des années d’améliorations revendiquées.
Les quelque 70 millions de dollars de pertes totales sur le mois, dont 28,6 millions de dollars, soit 42 %, imputables aux ponts cross-chain, d’après les rapports sur les incidents de mai, reflètent les schémas des années précédentes. Et ce, dans un secteur qui est censé avoir tiré les leçons de ses erreurs.
Ces chiffres arrivent également après une forte croissance de la TVL totale des ponts.
DefiLlama suit les volumes agrégés des ponts cross-chain et montre que les flux mensuels dépassent régulièrement 10 milliards de dollars sur les grands corridors. Lorsque le dénominateur de la valeur bridgée croît plus vite que ne mûrit l’infrastructure de sécurité, l’exposition absolue en dollars à l’exploitation augmente elle aussi — même si le pourcentage de fonds volés reste constant.
C’est le problème du tapis de course.
L’industrie court plus vite, sans nécessairement prendre de l’avance.
En mai 2026, les ponts représentaient 42 % de toutes les pertes liées aux exploits crypto, tout en ne détenant qu’une fraction de la TVL totale de la DeFi, un ratio qui reste obstinément élevé depuis 2022.
Ce qui distingue la période actuelle du pic de 2022, c’est le profil des attaquants. Le groupe Lazarus, l’unité de hacking affiliée à l’État nord-coréen, s’est vu attribuer par le FBI le vol du pont Harmony Horizon en 2022, et a été relié à des incidents ultérieurs.
Les attaquants de niveau étatique disposent de ressources, de patience et d’une sécurité opérationnelle qui diffèrent fondamentalement de celles des exploiteurs opportunistes de protocoles. Leur attention continue portée aux ponts reflète le profil de forte valeur par exploit que conserve cette catégorie.
À lire aussi : North Korea Drained $577M From Global Crypto Theft In 2026 So Far
Le spectre des hypothèses de confiance : du multisig aux preuves ZK
Les chercheurs en sécurité et les concepteurs de protocoles analysent généralement les architectures de ponts selon un spectre défini par leurs hypothèses de confiance. À une extrémité, on trouve les ponts basés sur multisig ou ensembles de validateurs qui s’appuient sur un petit groupe de nœuds opérés par des humains. À l’autre, des ponts nativement cryptographiques qui s’appuient sur des preuves mathématiques plutôt que sur l’honnêteté humaine. La distance entre ces deux pôles recouvre presque parfaitement la distance entre les conceptions de pont les plus vulnérables et les plus sûres.
Polynya, un chercheur pseudonyme d’Ethereum, et d’autres membres de la communauté de recherche sur les rollups ont soutenu que la seule conception de pont crédible à long terme est celle qui repose sur des preuves de validité permettant à la chaîne de destination de vérifier cryptographiquement l’état de la chaîne source sans faire confiance à aucun intermédiaire. Les preuves à connaissance nulle, en particulier les zk‑SNARKs et zk‑STARKs, rendent cela techniquement possible. Un pont ZK génère une preuve succincte qu’une transaction donnée a été incluse dans un bloc finalisé sur la chaîne source. La chaîne de destination vérifie cette preuve nativement, sans nécessiter d’ensemble de validateurs externes.
Les ponts light clients basés sur les preuves ZK réduisent les hypothèses de confiance à la sécurité cryptographique du système de preuve lui‑même, éliminant les ensembles de validateurs opérés par des humains qui ont constitué la surface d’attaque de la plupart des grands exploits de pont.
La limite pratique est le coût computationnel. Générer des preuves ZK du consensus pour des chaînes comme Ethereum suppose de prouver l’agrégation de signatures BLS12‑381 utilisée dans la beacon chain d’Ethereum, ce qui nécessitait jusqu’à récemment plusieurs minutes de temps de preuve et un matériel conséquent. Des projets comme Succinct Labs, =nil; Foundation et Electron Labs travaillent à accélérer cela. Le SP1 de Succinct… prover, described in its technical documentation, targets proof generation times measured in seconds for standard EVM blocks, a meaningful step toward practical deployment.
Also Read: Sui Crashes Third Time In 48 Hours, Wiping Out $1.88M In Trades
Ponts optimistes : un juste milieu avec sa propre surface d’attaque
Entre la haute sécurité des ponts ZK et la faible sécurité des conceptions basées sur des ensembles de validateurs se trouve une catégorie de ponts optimistes, calquée sur la même logique de preuves de fraude qui sous-tend les rollups optimistes. Les ponts optimistes traitent immédiatement les messages inter-chaînes mais incluent une fenêtre de contestation, généralement de sept jours, durant laquelle toute partie peut soumettre une preuve de fraude démontrant que le message relayé était invalide. Si aucune contestation ne réussit, le message est accepté comme final.
Connext, Across Protocol et la couche de messagerie Nomad (avant son exploit de 2022) ont tous utilisé des variantes de vérification optimiste. L’argument de sécurité est qu’un seul observateur honnête, n’importe où dans le monde, peut empêcher la finalisation d’un message frauduleux. En théorie, c’est solide. En pratique, cela dépend du fait que les observateurs surveillent de manière fiable le système et que le mécanisme de preuve de fraude lui-même soit correctement implémenté.
La sécurité d’un pont optimiste s’effondre si la fenêtre de preuve de fraude n’est pas surveillée, si le mécanisme de soumission des preuves de fraude contient des bugs, ou si les observateurs peuvent être économiquement contraints à l’inaction pendant la période de contestation.
L’exploit Nomad d’août 2022, qui a coûté 190 millions de dollars, n’était pas, il est important de le noter, une attaque contre le mécanisme optimiste lui-même. C’était un bug de contrat intelligent simple. Une mise à jour de routine a défini la racine de confiance à zéro, ce qui signifiait que tout message pouvait être rejoué comme valide. Une fois qu’un attaquant a identifié la faille, des centaines de transactions de copie ont suivi en quelques heures dans ce que les chercheurs ont qualifié de « free-for-all » opportuniste qui a presque complètement vidé le pont. L’incident a illustré que la sécurité optimiste n’est aussi forte que chaque autre composant de la pile sur laquelle elle repose.
Also Read: Bonk Eyes A Return To Top-100 As Meme Coin Season Gains Volume
L’économie des validateurs et l’échec d’incitation au cœur de la sécurité des ponts
Même les ponts bien conçus basés sur des ensembles de validateurs font face à un problème économique structurel. Les validateurs gagnent des frais pour le relais de messages. Ils s’exposent à un risque de slashing ou de dommage réputationnel s’ils se comportent de manière malveillante. Mais les revenus de frais sont généralement faibles par rapport à la valeur transitant par le pont, tandis que le gain potentiel d’une attaque coordonnée sur un pont à TVL élevé peut être énorme. Cette asymétrie n’est pas propre aux ponts, mais elle est particulièrement aiguë dans l’architecture des ponts, car une seule action coordonnée entre un nombre seuil de validateurs peut vider l’intégralité de la réserve verrouillée.
Les travaux académiques sur ce problème incluent un article de 2023 de chercheurs de l’IC3, l’Initiative for CryptoCurrencies and Contracts, qui ont modélisé le comportement rationnel des validateurs dans les systèmes de messagerie inter-chaînes. Leur analyse a montré que lorsque le seuil de pot-de-vin requis pour corrompre un ensemble de validateurs tombe en dessous de la valeur des actifs pouvant être volés, le système est économiquement non sécurisé, quelle que soit sa conception cryptographique. Pour des ponts sécurisant des centaines de millions de dollars avec des ensembles de validateurs gagnant des rendements annualisés de quelques pourcents sur des garanties en staking, ce seuil est régulièrement franchi.
Les chercheurs de l’IC3 ont constaté que les ponts basés sur des ensembles de validateurs deviennent économiquement non sécurisés dès que le coût de corruption d’un seuil de validateurs tombe en dessous de la valeur des actifs sécurisés par le pont, une condition fréquemment rencontrée en pratique.
La conséquence pratique est que la taille de l’ensemble de validateurs importe moins que la relation économique entre la garantie des validateurs et la TVL du pont. Un multisig 19-sur-21 qui sécurise 500 millions de dollars de TVL mais ne nécessite que 5 millions de dollars de stake susceptible d’être slashed pour être compromis est structurellement moins sûr qu’un multisig 3-sur-5 sécurisant 1 million de dollars avec 10 millions de dollars de stake derrière chaque validateur. Le secteur a été lent à adopter ce cadre, la plupart des discussions sur la sécurité des ponts se concentrant sur le nombre de validateurs plutôt que sur le ratio de sécurité économique.
Also Read: Cognition Raises $1 Billion At $26 Billion Valuation For Its AI Coding Agent Platform
Couverture par audit et faux sentiment de sécurité des certifications post-déploiement
Chaque grand pont qui a été exploité avait été audité. Wormhole a été audité. Ronin a été audité. Nomad a été audité. Cette observation n’est pas une condamnation des cabinets d’audit, mais une mise au point sur ce que les audits fournissent réellement. Un audit de contrat intelligent est un examen ponctuel du code tel qu’il existe au moment de la revue. Ce n’est pas une garantie que le code restera sécurisé au fil des mises à jour, des changements de dépendances ou des vecteurs d’attaque nouveaux découverts après la publication.
Trail of Bits, l’une des sociétés de sécurité les plus respectées de l’écosystème, a publié des travaux soulignant que la couverture d’audit pour les protocoles inter-chaînes complexes est structurellement limitée par la difficulté de modéliser le comportement d’un attaquant à travers deux environnements d’exécution indépendants simultanément. Un auditeur examinant les contrats côté Ethereum d’un pont peut ne pas avoir une visibilité complète sur la façon dont ces contrats interagissent avec la logique d’une chaîne de destination exécutant une machine virtuelle différente avec des hypothèses de finalité différentes.
Les chercheurs de Trail of Bits ont documenté que les audits de protocoles multi-chaînes sont systématiquement plus difficiles que les audits mono-chaîne, car la surface d’attaque inclut l’interaction entre les environnements, et pas seulement chaque environnement pris isolément.
Le problème des mises à jour post-audit est tout aussi sérieux. L’exploit de Nomad a été déclenché non pas par du code existant au moment de l’audit mais par un paramètre spécifique défini lors d’une mise à jour ultérieure. La mise à jour elle-même a été auditée, mais les conséquences du fait que cette valeur spécifique soit définie à zéro n’ont pas été identifiées. Il s’agit d’une catégorie d’erreurs que la vérification formelle, par opposition à l’audit manuel, est mieux positionnée pour détecter. Certora et Runtime Verification ont toutes deux développé des outils de vérification formelle pour les contrats EVM, et leur adoption dans les bases de code de ponts a augmenté, mais elle est encore loin d’être universelle.
Also Read: Sui Foundation Blames Upgrade Bugs For Three Costly Outages
La couche protocolaire d’interopérabilité : remplacer les ponts sur mesure par une infrastructure partagée
Une réponse architecturale à la prolifération de ponts sur mesure vulnérables consiste à les remplacer par une infrastructure partagée de messagerie inter-chaînes sur laquelle de nombreux ponts au niveau applicatif peuvent se construire. L’argument est que la concentration des investissements en sécurité, de la couverture d’audit et de la rigueur cryptographique dans une seule couche de messagerie bien dotée réduit le risque systémique global par rapport à des dizaines de contrats de pont déployés individuellement, chacun portant sa propre surface d’attaque.
LayerZero et Wormhole (qui a été largement reconstruit après son exploit de 2022) incarnent cette approche. Le protocole de LayerZero, documenté dans son livre blanc, sépare la fonction d’oracle (livraison des en-têtes de bloc) de la fonction de relayer (livraison des preuves de transaction) et exige que les deux colludent pour forger un message. Cela réduit mais n’élimine pas les hypothèses de confiance. Le CCIP (Cross-Chain Interoperability Protocol) de Chainlink ajoute une troisième couche de nœuds de gestion des risques hors-chaîne, spécifiquement chargés de la limitation de débit et de la détection d’anomalies dans les flux de messages inter-chaînes.
L’architecture séparant oracle et relayer de LayerZero exige que l’oracle et le relayer colludent pour forger un message inter-chaînes, augmentant le coût d’attaque par rapport aux conceptions à ensemble unique de validateurs, tout en reposant toujours sur des hypothèses de confiance externes.
L’argument contraire est le risque de concentration. Si un seul protocole de messagerie inter-chaînes traite la majorité de toutes les transactions de pont, une vulnérabilité critique dans ce protocole devient un risque systémique pour l’ensemble de l’écosystème. Cela est analogue aux préoccupations soulevées concernant les bibliothèques logicielles largement utilisées dans l’informatique traditionnelle. Le modèle d’Interchain Security développé dans l’écosystème Cosmos (ATOM) adopte une approche différente, en partageant des ensembles de validateurs entre les chaînes applicatives au sein d’une zone de confiance définie plutôt qu’en créant une infrastructure de messagerie généraliste entre des chaînes hétérogènes.
Also Read: NVIDIA Launches Cosmos 3, An Open Physical AI Model Built On Mixture-of-Transformers
Assurance, bug bounties et atténuation des risques fondée sur le marché
Pendant que la communauté d’ingénierie travaille sur des solutions architecturales, un ensemble parallèle de mécanismes de marché a émergé pour absorber les pertes liées aux exploits de ponts lorsqu’ils se produisent. Les protocoles d’assurance on-chain, les programmes de bug bounty et les produits de couverture spécifiques aux ponts ont tous fortement grandi depuis la vague d’exploits de 2022, même si leur capacité collective reste faible par rapport à la TVL agrégée des ponts.
Immunefi est devenue la plate-forme dominante pour les programmes de bug bounty crypto. Ses données de classement montrent que le total des primes versées sur l’ensemble des programmes a dépassé 100 millions de dollars cumulés d’ici 2025, les protocoles de pont offrant certaines des plus grandes récompenses individuelles.
Le programme de bug bounty de Wormhole offre jusqu’à 2,5 millions de dollars pour des vulnérabilités critiques. LayerZero a proposé des maximums comparables. Ces programmes créentincitations financières pour que les chercheurs white-hat trouvent et divulguent de manière responsable les vulnérabilités plutôt que de les exploiter.
La plateforme d’Immunefi a facilité plus de 100 millions de dollars de paiements cumulés de bug bounty, mais les protocoles de bridge restent systématiquement sous-assurés par rapport à leur exposition en TVL, laissant des centaines de millions de dollars de pertes potentielles non couvertes.
Les protocoles d’assurance on-chain, dont Nexus Mutual et Unslashed Finance, proposent une couverture paramétrique pour les exploits de bridges. Mais la capacité de couverture disponible sur ces protocoles est nettement inférieure à la TVL des principaux contrats de bridge. Les données publiées par Nexus Mutual montrent que la valeur couverte par l’ensemble de ses garanties actives ne représente qu’une fraction de la TVL totale de la DeFi. Pour les utilisateurs de bridges, cela signifie qu’en pratique, la plupart des fonds transitant par les bridges ne sont pas assurés contre les pertes liées aux exploits. L’écart entre l’ampleur de l’activité sur les bridges et le degré de maturité de l’infrastructure de couverture représente une défaillance de marché significative qui n’a pas encore trouvé de solution à grande échelle.
Also Read: ETH Loses Its Last Floor And Stares Down A Drop Toward $1,800
À quoi ressemble réellement un écosystème de bridges plus sûr
Les recherches et les données d’incidents des quatre dernières années convergent vers une vision commune de ce à quoi ressemble une infrastructure cross-chain plus sécurisée, même si cette destination reste à plusieurs années d’une réalisation complète. Cela implique trois évolutions qui se chevauchent : un passage de jeux de validateurs externes vers la vérification cryptographique, un passage de contrats de bridge sur mesure vers des couches standardisées de messagerie cross-chain, et un passage de correctifs de sécurité réactifs vers une vérification formelle proactive et une surveillance continue.
Les bridges de light client ZK représentent l’architecture à long terme la plus crédible techniquement. Des projets comme Electron Labs (qui a construit une preuve ZK du consensus d’Ethereum pour une utilisation dans l’écosystème du NEAR Protocol (NEAR)), Polyhedra Network et Succinct Labs font tous avancer la technologie de prover nécessaire pour rendre les bridges ZK économiquement viables à l’échelle. Le SP1 zkVM de Succinct, publié en 2024, a démontré que la génération de preuves ZK de l’exécution EVM est réalisable avec du matériel standard en quasi temps réel, un jalon significatif qui n’était pas atteignable deux ans auparavant.
Le prover SP1 de Succinct Labs a démontré en 2024 que des preuves ZK de l’exécution de l’EVM peuvent être générées avec du matériel standard en quasi temps réel, une étape technique qui rend pour la première fois les bridges de light client ZK viables à l’échelle de la production.
Parallèlement aux avancées cryptographiques, l’industrie a besoin d’une infrastructure de surveillance en temps réel capable de détecter des schémas de messages cross-chain anormaux avant que les fonds ne soient entièrement drainés. Forta Network et Chainalysis KYT proposent tous deux des outils de surveillance on-chain, et plusieurs protocoles de bridge ont mis en place des coupe-circuits automatisés qui suspendent les retraits au‑delà d’un certain seuil de valeur en attendant un examen manuel. Le délai de cinq jours pour la détection de l’exploit Ronin était exceptionnel, même selon les standards de 2022, et on s’attendrait aujourd’hui à ce que les outils de surveillance actuels détectent une anomalie d’une telle ampleur plus rapidement. Mais la détection automatisée des exploits de bridges reste en retard sur la vitesse à laquelle des attaquants sophistiqués peuvent drainer des contrats dès lors qu’ils ont identifié une vulnérabilité.
Read Next: Arthur Hayes Sees HYPE Clearing $150 And Eclipsing Solana
Conclusion
La persistance des exploits de bridges cross-chain n’est pas la preuve que le problème est insoluble. C’est la preuve que la génération actuelle d’architectures de bridge a fait des compromis explicites et visibles entre sécurité et praticité. Et ces compromis ont été exploités à grande échelle.
La part de 42 % des pertes liées aux exploits de mai 2026 provenant des bridges reflète une vulnérabilité structurelle. Une vulnérabilité qui a survécu à plusieurs cycles de marché, à plusieurs catastrophes très médiatisées et à plusieurs vagues de remédiations revendiquées.
La voie à suivre existe.
Les bridges de light client ZK peuvent éliminer les hypothèses de confiance dans des validateurs externes qui ont constitué la surface d’attaque de la plupart des incidents majeurs. Une infrastructure partagée de messagerie cross-chain peut concentrer les investissements de sécurité plus efficacement que des contrats de bridge sur mesure propres à chaque protocole. La vérification formelle peut détecter des vulnérabilités induites par des mises à jour que les audits manuels manquent régulièrement. Les programmes de bug bounty peuvent transformer des exploitants potentiels en chercheurs rémunérés. Et les coupe-circuits peuvent limiter les dégâts lorsqu’une vulnérabilité parvient malgré tout à passer et à être exploitée.
Aucune de ces mesures n’est suffisante à elle seule. Et aucune n’est encore déployée à l’échelle nécessaire pour réduire de manière significative le taux d’exploits de cette catégorie.
La TVL sur les bridges continue de croître. La valeur absolue en dollars exposée ne cesse d’augmenter. La sophistication des attaquants ciblant cette catégorie n’a pas diminué.
Les 28,6 millions de dollars perdus en mai 2026 ne sont pas un tir de semonce.
C’est un point de données dans une tendance qui dure depuis quatre ans — une tendance que la prochaine génération d’architectures de bridge dispose de l’outillage technique pour briser, si cet outillage est déployé avec l’urgence que l’historique des pertes impose.