Les piratages crypto en 2025 et au début de 2026 ont dépassé tous les précédents records annuels en valeur, avec des pertes atteignant 3,4 milliards de dollars sur fond de bugs de smart contracts, de compromissions de la chaîne d’approvisionnement, de manipulations d’oracles, de vols de clés et de sabotages à motivation politique, révélant que les points de confiance concentrés — et pas seulement le mauvais code — restent la vulnérabilité la plus dangereuse du secteur.
L’état des piratages crypto en 2025–2026
Les chiffres sont difficiles à contester, même s’ils varient selon la méthodologie.
Chainalysis a estimé que le total des vols de crypto en 2025 a atteint 3,4 milliards de dollars, en faisant la pire année jamais enregistrée. TRM Labs et TechCrunch ont séparément rapporté un chiffre de 2,7 milliards de dollars. CertiK a publié un total de 2,47 milliards de dollars pour le premier semestre 2025, répartis sur 344 incidents, dépassant déjà le total annuel 2024 de 1,98 milliard de dollars de pertes nettes.
Pour le contexte, TRM Labs avait calculé que 2,2 milliards de dollars avaient été volés sur l’ensemble de 2024. Cela signifie que les six premiers mois de 2025 ont, à eux seuls, dépassé toute l’année précédente.
Ce qui rend cette période distinctive, ce n’est pas le nombre d’incidents. C’est la concentration.
Immunefi a rapporté que le premier trimestre 2025 a été le pire trimestre de l’histoire pour les piratages crypto, avec 1,64 milliard de dollars perdus sur seulement 40 événements — une augmentation de 4,7x par rapport au premier trimestre 2024. Deux incidents seulement, Bybit et Cetus, ont représenté environ 1,78 milliard de dollars, soit 72 % du total du premier semestre selon CertiK.
Les catégories d’attaque n’ont pas beaucoup changé. Exploits de smart contracts, manipulation d’oracles, compromission de clés privées, défaillances opérationnelles des plateformes d’échange et cyberattaques sponsorisées par des États sont toutes présentes. Ce qui a changé, c’est l’échelle. La taille moyenne des piratages a doublé au premier semestre 2025 par rapport à la même période un an plus tôt, et les dégâts se sont concentrés sur une poignée d’événements catastrophiques.
Le fil conducteur entre les pires cas ci‑dessous n’est pas la complexité. C’est la confiance — concentrée dans une seule clé, un seul prestataire, une seule structure de gouvernance ou un seul lieu de liquidité.
À lire aussi : Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Resolv : comment une création non couverte a transformé un stablecoin en crise de bilan
Le 22 mars 2026, un attaquant a compromis une clé privée privilégiée stockée dans l’AWS Key Management Service de Resolv, puis l’a utilisée pour autoriser deux opérations de mint massivement gonflées sur le stablecoin USR du protocole.
La première a créé 50 millions d’USR contre un dépôt d’environ 100 000 $ en USDC (USDC). La seconde a émis 30 millions supplémentaires.
Au total, environ 80 millions de jetons non couverts sont entrés en circulation. La clé de mint était un seul compte externe — et non un multisig — et le contrat ne comportait ni limite maximale d’émission, ni vérification par oracle, ni validation des montants.
L’attaquant a converti les USR nouvellement créés via wstUSR et des stablecoins en environ 11 400 Ether (ETH), pour une valeur approximative de 24 à 25 millions de dollars. Le prix de l’USR s’est effondré jusqu’à 0,025 $ sur Curve Finance en 17 minutes — une chute de 97,5 %.
Ce qui rend les exploits sur les stablecoins particulièrement dommageables, c’est qu’ils révèlent instantanément si la collatéralisation est réelle ou fragile.
Le pool de collatéraux initial du protocole, d’environ 95 millions de dollars, est resté techniquement intact, mais avec 80 millions de nouveaux jetons non couverts en circulation, Resolv s’est retrouvé avec approximativement 95 millions de dollars d’actifs pour environ 173 millions de dollars de passifs. Des protocoles DeFi comme Aave, Morpho, Euler, Venus et Fluid ont pris des mesures de précaution pour isoler leur exposition.
La réaction en chaîne — exploit, ventes forcées, décrochage du peg, fossé entre actifs et passifs, panique — s’est déroulée en moins d’une journée.
À lire aussi : Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning
Bybit : la méga‑faille à 1,5 milliard de dollars qui a marqué l’année
Aucun événement unique dans l’histoire des vols de cryptomonnaies ne se compare, en valeur, à ce qui est arrivé à Bybit le 21 février 2025.
L’enquêteur on‑chain ZachXBT a d’abord signalé des sorties suspectes de plus de 1,46 milliard de dollars provenant du portefeuille froid Ethereum (ETH) de la plateforme. Le FBI a ensuite attribué le vol au cluster TraderTraitor de la Corée du Nord, faisant partie du groupe Lazarus, et a fixé le montant à environ 1,5 milliard de dollars.
Environ 401 347 ETH ont été dérobés. Cela dépassait les totaux combinés des piratages de Ronin Network et Poly Network, auparavant les deux plus grands de l’histoire de la crypto.
La faille ne provenait pas du code propre de Bybit. Des investigations médico‑légales menées par Sygnia et Verichains ont retracé la cause racine à une compromission de la chaîne d’approvisionnement de Safe{Wallet}, une plateforme multisig tierce. Les attaquants ont compromis le poste de travail macOS d’un développeur de Safe dès le 4 février, volé des jetons de session AWS, puis, le 19 février, injecté du JavaScript malveillant dans l’interface web de Safe.
Le code ne s’activait que lorsque le portefeuille froid Ethereum spécifique de Bybit initiait une transaction. Trois des six signataires multisig ont approuvé la transaction sans détecter la manipulation.
Le PDG de Bybit, Ben Zhou, a confirmé que la plateforme restait solvable, soutenue par des réserves pré‑piratage dépassant 16 milliards de dollars. En 72 heures, Bybit a reconstitué ses réserves d’ETH grâce à des prêts d’urgence de Galaxy Digital, FalconX, Wintermute et Bitget. Mais au 20 mars, environ 86 % des ETH volés avaient été convertis en Bitcoin (BTC) sur près de 7 000 portefeuilles.
La leçon est simple. Un seul acteur, une seule faille, un seul événement — et le profil annuel des pertes du secteur est entièrement bouleversé. Certaines des pires défaillances crypto surviennent là où les utilisateurs supposent que l’échelle équivaut à la sécurité.
À lire aussi : After A $44M Hack, CoinDCX Now Faces A Fraud FIR
Cetus sur Sui : comment un exploit de 223 M$ a gelé un DEX phare
En mai 2025, Cetus, le plus grand exchange décentralisé sur le réseau Sui (SUI), a été frappé par un exploit qui a vidé environ 223 millions de dollars de ses pools de liquidité. La cause racine était un bug de dépassement d’entier dans la bibliothèque mathématique de liquidité concentrée du protocole.
Une fonction comparait des valeurs à un seuil erroné d’un bit, permettant à l’attaquant de déposer un seul jeton mais de recevoir des positions de liquidité valant des millions.
Les validateurs Sui ont pris la mesure extraordinaire de geler environ 162 millions de dollars de fonds volés on‑chain, une décision approuvée par vote de gouvernance à 90,9 %. Environ 60 millions de dollars avaient déjà été pontés vers Ethereum avant le gel.
Cetus a repris ses opérations après 17 jours d’interruption, en remplissant à nouveau les pools avec les fonds récupérés, 7 millions de dollars tirés de ses réserves de trésorerie et un prêt de 30 millions d’USDC de la Sui Foundation.
Lorsqu’un lieu de liquidité phare se brise, la crédibilité de toute la chaîne en souffre. Prix des jetons, réputation du réseau, confiance des utilisateurs et nécessité d’interventions d’urgence par les acteurs de l’écosystème — le rayon d’impact dépasse largement le protocole lui‑même.
À lire aussi : Brazil Freezes Crypto Tax Rules
GMX : pourquoi une plateforme de perpétuels de premier plan a quand même perdu plus de 42 M$
En juillet 2025, GMX a été exploité pour plus de 42 millions de dollars via une vulnérabilité de réentrance inter‑contrats dans son déploiement V1 sur Arbitrum. La fonction chargée d’exécuter les ordres de réduction acceptait une adresse de smart contract comme paramètre au lieu d’exiger un portefeuille standard.
Pendant l’étape de remboursement en ETH, l’exécution passait vers le contrat malveillant de l’attaquant, permettant une réentrance qui manipulait les données de prix internes à environ 57 fois en dessous du prix de marché réel.
GMX a proposé une prime de white‑hat de 10 %, d’une valeur d’environ 5 millions de dollars, avec un délai de 48 heures et une menace d’action en justice. L’attaquant a retourné environ 37,5 à 40,5 millions de dollars par tranches, conservant la prime. GMX a ensuite complété un plan de compensation de 44 millions de dollars pour les détenteurs de GLP affectés.
Le fait que les fonds aient été rendus ne signifie pas que le système a fonctionné. Le cadrage en « white hat », les offres de primes et la récupération partielle peuvent atténuer la réaction du marché sans éliminer la faille de sécurité sous-jacente.
La vulnérabilité avait été ironiquement introduite en 2022 lors de la correction d’un bogue précédent. GMX V2 n’a pas été affecté.
Also Read: Bitcoin Drops In Hours After Trump Threatens Iran Power Plants
Nobitex : quand un hack crypto devient une guerre géopolitique
En juin 2025, Nobitex, la plus grande plateforme d’échange de cryptomonnaies d’Iran, a été piratée pour environ 90 millions de dollars sur plusieurs blockchains, dont Bitcoin (BTC), Ethereum, Dogecoin (DOGE), XRP (XRP), Solana (SOL), Tron (TRX) et TON (TON).
Le groupe de hackers pro-israélien Gonjeshke Darande, également connu sous le nom de Predatory Sparrow, a revendiqué la responsabilité.
L’attaque a eu lieu pendant des hostilités militaires actives entre Israël et l’Iran.
Il ne s’agissait pas d’un vol à motivation financière. Les fonds volés ont été envoyés vers des adresses « burner » personnalisées contenant des messages anti-IRGC, sans clés privées récupérables — brûlant effectivement 90 millions de dollars comme déclaration politique.
Le lendemain, les attaquants ont publié publiquement l’intégralité du code source de Nobitex, sa documentation d’infrastructure et sa R&D interne en matière de confidentialité.
Certains hacks crypto ne sont pas du tout des attaques visant à maximiser le profit. Ce sont des actes de sabotage, de signalement ou de cyberguerre. Cela les distingue des exploits de protocoles sur pratiquement toutes les dimensions : motivation, méthode, conséquences et impossibilité de récupération. Nobitex a signalé une reprise partielle de ses opérations par la suite, mais les volumes de transactions entrantes ont chuté de plus de 70 % d’une année sur l’autre début juillet.
Also Read: SBF Backs Trump's Iran Strikes From Prison
Abracadabra : l’exploit qui a touché l’emprunt DeFi via des « cauldrons » liés à GMX
Le 25 mars 2025, un attaquant a vidé environ 6 260 ETH — soit environ 13 millions de dollars — des marchés de prêt d’Abracadabra Finance, appelés cauldrons. Les cauldrons ciblés utilisaient des tokens de pools de liquidité GMX V2 comme collatéral, et l’exploit reposait sur une technique d’auto-liquidation assistée par flash loan qui tirait parti d’erreurs de suivi d’état dans les contrats gmCauldron.
Les fonds volés ont été bridgés d’Arbitrum vers Ethereum. PeckShield a été l’une des premières sociétés de sécurité à signaler l’incident. GMX a confirmé que ses propres contrats n’étaient pas affectés.
Abracadabra a offert une prime de bogue de 20 %. Il s’agissait du deuxième hack majeur du protocole ; un exploit de 6,49 millions de dollars avait touché Abracadabra en janvier 2024.
Cet épisode illustre le risque de composabilité. Un protocole peut sembler sûr isolément mais devenir vulnérable via ses intégrations et dépendances.
Pour les utilisateurs DeFi, ce qui se trouve « sous le capot » — les types de collatéraux acceptés par un protocole, les contrats externes qu’il appelle — compte davantage que la marque de premier niveau dans laquelle ils déposent.
Also Read: CFTC And SEC Align On Crypto Haircuts
Hyperliquid et JELLY : drame de structure de marché et questions de centralisation
Le 26 mars 2025, un attaquant a ouvert une position courte de 4,1 millions de dollars sur le memecoin illiquide JELLY sur Hyperliquid, ainsi que deux positions longues de couverture, puis a fait grimper le prix spot du token de plus de 400 %.
Lorsque la position courte a été liquidée, le coffre automatisé HLP d’Hyperliquid a hérité de la position en perte, et les pertes latentes du coffre ont atteint environ 13,5 millions de dollars.
Les validateurs d’Hyperliquid ont ensuite clôturé de force toutes les positions JELLY, en réglant au prix d’entrée initial de la position courte de l’attaquant, soit 0,0095 $, plutôt qu’aux 0,50 $ rapportés par les oracles externes.
La manœuvre a été exécutée en deux minutes et a révélé que le protocole ne s’appuyait que sur quatre validateurs par ensemble.
Le scandale ne réside pas seulement dans la perte.
La PDG de Bitget, Gracy Chen, a publiquement qualifié Hyperliquid de « FTX 2.0 ». La valeur totale verrouillée du protocole est passée de 540 millions de dollars à 150 millions de dollars le mois suivant, et le token HYPE a chuté de 20 %. Hyperliquid a ensuite procédé à une mise à niveau vers un vote des validateurs on-chain pour les décisions de déréférencement d’actifs.
Que se passe-t-il lorsqu’une plateforme soi-disant décentralisée agit de manière centralisée en temps de crise ? Cette question est pertinente pour tout public de recherche, même lorsque la perte en dollars est inférieure à celle des plus grandes brèches. Elle a mis au jour une ligne de faille de crédibilité.
Also Read: Strategy Holds 3.6% Of All Bitcoin
Meta Pool : risque de mint infini et pourquoi une faible liquidité peut masquer un bogue majeur
En juin 2025, Meta Pool a subi un exploit de contrat intelligent qui a permis à un attaquant de minter 9 705 mpETH — d’une valeur d’environ 27 millions de dollars — sans déposer de collatéral en ETH.
La vulnérabilité se trouvait dans la fonction de mint de l’ERC-4626. L’attaquant a contourné la période de cooldown normale via la fonctionnalité de retrait rapide (« fast unstake ») du protocole.
Mais la perte réalisée n’a été que d’environ 132 000 dollars. La liquidité réduite dans les pools de swap Uniswap concernés signifiait que l’attaquant ne pouvait extraire que 52,5 ETH.
Un bot MEV a front-runné une partie de l’attaque, extrayant environ 90 ETH de liquidité qui ont ensuite été restitués au protocole. Les 913 ETH initialement stakés par les utilisateurs sont restés en sécurité auprès des opérateurs du réseau SSV.
Parfois, le bogue est bien plus grave que la perte réalisée. Le chemin d’exploit dans ce cas impliquait un dommage théorique catastrophique, mais la faible liquidité a plafonné l’extraction. Cette distinction est importante pour quiconque évalue le risque DeFi, et elle donne à ce cas plus de profondeur qu’un simple classement par pertes en dollars.
Also Read: UK Set To Block Crypto Donations
Cork Protocol : soutenu par a16z, mais quand même exploité
Le 28 mai 2025, Cork Protocol a été exploité pour environ 12 millions de dollars. L’attaquant a extrait 3 761 wstETH en exploitant des failles dans la logique beforeSwap du Cork Hook et des contrôles d’accès manquants.
La cause première était un manque de validation des entrées combiné à une création de marchés permissionless sans garde-fous, ce qui a permis à l’attaquant de créer un faux marché en utilisant un véritable token DS comme actif de rachat.
Cork avait reçu des investissements de a16z crypto et OrangeDAO en septembre 2024.
La leçon est simple. Les investisseurs institutionnels, le soutien de fonds de capital-risque de premier plan et un branding soigné n’éliminent pas le risque technique. Les lecteurs ne doivent pas confondre qualité du financement et sécurité du protocole, et les audits — aussi approfondis soient-ils — ne sont pas des garanties. Tous les contrats ont été immédiatement mis en pause après la détection, mais l’argent était perdu.
Also Read: Early Ethereum Whale Buys $19.5M In ETH
KiloEx : la manipulation d’oracle comme faiblesse récurrente de la DeFi
En avril 2025, KiloEx a perdu environ 7 à 7,5 millions de dollars sur Base, opBNB et BNB Smart Chain après qu’un attaquant a exploité une vulnérabilité de contrôle d’accès dans le contrat MinimalForwarder de la plateforme. La faille permettait à quiconque d’appeler les fonctions de définition des prix.
L’attaquant a manipulé l’oracle pour qu’il signale un prix extrêmement bas pour l’ETH — 100 $ — lors de l’ouverture de positions à effet de levier, puis a clôturé à 10 000 $.
KiloEx a offert une prime white hat de 10 %, soit 750 000 dollars. Quatre jours plus tard, l’attaquant a rendu tous les fonds volés, et KiloEx a annoncé qu’il ne poursuivrait pas d’action en justice.
La plateforme a repris après une pause de 10 jours et a publié un plan de compensation pour les utilisateurs dont les transactions sont restées ouvertes pendant l’interruption.
C’est le cas le plus simple pour expliquer le risque d’oracle. De mauvaises données de prix peuvent permettre à des attaquants d’ouvrir et de clôturer des positions à de fausses valeurs. De nombreux exploits présentés comme sophistiqués reposent encore sur d’anciens primitives — de mauvaises sources de prix, des hypothèses prévisibles, une validation médiocre. La manipulation d’oracle demeure l’une des faiblesses les plus persistantes de la DeFi.
Also Read: Gold's WorstSemaine Depuis 1983
Ce que le schéma révèle
Les 10 cas ci-dessus diffèrent par leur mécanisme, leur ampleur et leur motivation. Mais ils partagent une structure commune.
Les incidents les plus financièrement dévastateurs — Bybit et Resolv — n’étaient absolument pas dus à des bugs on-chain. Il s’agissait de défaillances au niveau de l’infrastructure : une machine de développeur compromise dans un cas, une clé de mint unique et non protégée, stockée dans une infrastructure cloud, dans l’autre. Les dégâts ont été catastrophiques dans les deux cas précisément parce qu’il existait des points de confiance centralisés là où les utilisateurs supposaient qu’il n’y en avait pas.
Les exploits au niveau protocolaire comme Cetus et GMX impliquaient bien des bugs de code, mais le rayon d’impact a été déterminé par les réponses de gouvernance — capacité ou non des validateurs à geler les fonds, succès ou échec des négociations de bounty, et intervention éventuelle d’acteurs de l’écosystème avec un financement d’urgence.
Nobitex n’était en aucun cas un exploit de protocole au sens propre ; c’était un acte de sabotage géopolitique.
Le tableau d’ensemble n’est pas rassurant. Moins d’incidents ne signifie pas moins de dégâts. La gravité moyenne augmente. La Corée du Nord, à elle seule, représentait plus de 2 milliards de dollars de vols en 2025, soit une hausse de 51 % sur un an.
Le périmètre de sécurité le plus crucial dans la crypto s’est déplacé de la logique on-chain vers l’infrastructure off-chain, la gestion des clés et la sécurité opérationnelle humaine.
Pour les utilisateurs particuliers, les investisseurs en tokens et les équipes de protocole, les données suggèrent la même conclusion. La question n’est plus de savoir si les smart contracts d’un protocole ont été audités. La question est de savoir où se trouve la confiance concentrée — et ce qui se passe lorsqu’elle se brise.
À lire ensuite : Bitcoin Mining Difficulty Falls 7.76%