Rapport sur la sécurité crypto 2025–2026 — 3,4 milliards de dollars volés

Résumé exécutif 1. Les chiffres

1. Les chiffres : 2025 selon les données

Le chiffre principal — 3,41 milliards de dollars de pertes totales — ne raconte qu'une partie de l'histoire. La structure de ces pertes a fondamentalement changé en 2025.

Alors que le nombre total d'incidents est passé de 410 en 2024 à environ 200 en 2025, la perte moyenne par incident a plus que doublé. Le T1 2025 a été le pire trimestre de l'histoire de la crypto avec 1,64 milliard de dollars, presque entièrement dû au piratage de Bybit. Le T2 a apporté 801 millions de dollars de pertes, tandis que le T3 s'est stabilisé à 509 millions à mesure que l'industrie s'adaptait. Septembre 2025 a établi un record de 16 piratages distincts de plus d'un million de dollars en un seul mois, démontrant que même si les méga-piratages attiraient l'attention, la longue traîne des attaques de taille moyenne se poursuivait sans relâche.

Les pertes DeFi sont tombées à 649 millions de dollars, une baisse de 37 % qui reflète une réelle amélioration descontrats intelligentspratiques d'audit et programmes de bug bounty. Mais les pertes des plateformes centralisées ont bondi à 1,8 milliard de dollars — une augmentation massive tirée par les incidents de Bybit et Coinbase. Les compromissions de portefeuilles ont été la catégorie d'attaque la plus efficace : seulement 34 incidents ont représenté 1,71 milliard de dollars, soit 69 % de toute la valeur perdue.

Sur une note plus positive, la récupération des fonds s'est améliorée. Un total de 387 millions de dollars (13,2 % des pertes) a été récupéré grâce aux gels on-chain, à la coordination avec les forces de l'ordre et aux actions de gouvernance des protocoles — en hausse par rapport aux années précédentes, tant en termes absolus qu'en pourcentage.

2. Bybit

2. Le méga-piratage de Bybit : 1,5 milliard de dollars

Le 21 février 2025, la plateforme d'échange Bybit, basée à Dubaï, a subi le plus grand piratage unique de l'histoire des crypto-monnaies. Un total de 401 347 ETH a été drainé de portefeuillesmultisigbasés sur Safe, couvrant Ethereum et Arbitrum. La perte — environ 1,5 milliard de dollars à l'époque — représentait environ 50 % de tous les vols de crypto en 2025.

La cause profonde n'était pas une vulnérabilité de contrat intelligent. Les attaquants ont compromis les clés de signature internes grâce à une campagne de plusieurs mois combinant ingénierie sociale et déploiement de logiciels malveillants contre des employés clés. En prenant le contrôle d'un nombre suffisant de clés de signature, ils ont pu autoriser des transferts massifs sans déclencher les systèmes de détection d'anomalies de la plateforme.

Après le vol, les fonds ont été rapidement fragmentés vers des adresses nouvellement générées, déplacés via desponts (bridges)cross-chain, et traités par des services de mixage. L'attaque a été attribuée au groupe Lazarus de Corée du Nord sur la base des modèles de comportement on-chain, du chevauchement des infrastructures de blanchiment et des évaluations des services de renseignement.

L'incident de Bybit apporte une leçon cruciale pour l'industrie : la sécurité d'un multisig n'est aussi forte que la sécurité opérationnelle de chaque signataire. Lorsque l'environnement de signature — la combinaison de personnes, d'appareils et de processus — est compromis, les protections cryptographiques deviennent inutiles. Pour en savoir plus surle fonctionnement du multisig et ses limites, consultez notre guide dédié.

3. Coinbase

3. Coinbase : attaque par ingénierie sociale de 400 millions de dollars

En mai 2025, Coinbase a révélé une attaque qui se distinguait de tous les autres incidents de ce rapport : elle n'impliquait aucun exploit technique. Les attaquants ont corrompu et manipulé psychologiquement des employés du support client interne sur une période prolongée, accédant progressivement aux outils d'administration.

Avec cet accès, les attaquants ont pu visualiser des captures d'écran de comptes clients, extraire des identifiants et contourner les mécanismes d'authentification. La brèche a exposé les données des clients et entraîné des vols en cascade. Coinbase a alloué jusqu'à 400 millions de dollars pour l'indemnisation des clients.

L'attaque de Coinbase souligne une réalité que l'industrie crypto a mis du temps à reconnaître : les processus gérés par l'humain sont souvent le maillon le plus faible de défenses par ailleurs techniquement impénétrables. Aucun niveau d'audit decontrat intelligentou de sécurité cryptographique ne peut compenser la compromission du personnel interne. Pour les utilisateurs, cela renforce l'importance de l'auto-garde (self-custody)pour les avoirs importants — vos actifs sur une plateforme d'échange ne sont aussi sûrs que l'employé le moins soucieux de la sécurité de cette plateforme.

4. Exploits DeFi majeurs

4. Exploits DeFi majeurs de 2025

Malgré la baisse globale des pertes DeFi, plusieurs exploits en 2025 ont démontré que les attaques au niveau du protocole restent une menace sérieuse — particulièrement lorsqu'elles ciblent des erreurs mathématiques subtiles ou de nouvelles architectures de chaînes.

Cetus Protocol — 223 millions de dollars

En mai 2025, Cetus Protocol, la plus grande plateforme d'échange décentralisée sur le réseau Sui, a été frappée par un exploit provenant d'une erreur de dépassement d'entier (integer overflow) dans ses calculs de liquidité. L'attaquant a créé de faux jetons imitant des actifs légitimes et a exploité des vulnérabilités dans la logique de gestion des actifs du protocole pour manipuler les prix on-chain. Les fournisseurs de liquidité se sont retrouvés avec des positions sans valeur alors que l'attaquant drainait les pools. L'incident a souligné que les nouveaux écosystèmes blockchain comme Sui font face aux mêmes défis de sécurité fondamentaux qu'Ethereum et les autres — la nouveauté de la chaîne ne confère pas d'immunité.

Balancer V2 — 128 millions de dollars

En novembre 2025, Balancer V2 a subi un exploit sur plusieurs chaînes en raison d'une erreur d'arrondi dans les mathématiques de ses pools stables composables. L'attaquant a élaboré des séquences d'échanges exploitant de minuscules écarts entre la comptabilité interne du protocole et les soldes réels des pools. Chaque erreur d'arrondi individuelle était négligeable, mais en exécutant des milliers de transactions précisément calibrées, l'attaquant a extrait 128 millions de dollars. Ce type d'attaque est extrêmement difficile à détecter par des audits standards car les mathématiques sous-jacentes sont correctes isolément — la vulnérabilité n'émerge que dans l'interaction entre l'arrondi et les opérations répétées.

GMX V1 — 42 millions de dollars

En juillet 2025, GMX V1 sur Arbitrum a été exploité via une vulnérabilité de réentrance (reentrancy). L'attaquant a émis des jetons GLP en excès et a manipulé les calculs de l'AUM du protocole en exécutant des positions courtes directement depuis le contrat du coffre (vault), contournant entièrement le ShortsTracker. L'exploit a démontré que même des protocoles éprouvés sur les réseaux de couche 2 peuvent receler des vulnérabilités latentes, en particulier dans le code hérité qui précède les modèles de sécurité plus récents.

Pour un historique complet des principaux exploits crypto, incluant les attaques de ponts de 2022 et les faillites d'échanges de 2023–2024, consultez notrechronologie complète des piratages crypto.

5. Attaques parrainées par des États

5. Attaques étatiques : la géopolitique du vol de crypto

Le vol de crypto-monnaies n'est plus une histoire de hackers anonymes et de criminels opportunistes. En 2025, les acteurs les plus menaçants étaient des États-nations utilisant le vol de crypto et le contournement des sanctions comme instruments de politique étrangère et de financement militaire.

Corée du Nord — 2 milliards de dollars en 2025

Les opérations de vol de crypto de la Corée du Nord ont atteint 2 milliards de dollars en 2025, soit une augmentation de 51 % par rapport à 2024. Le Lazarus Group, principale organisation de piratage étatique, a affiné son approche, passant des piratages directs d'échanges à un modèle plus insidieux : des milliers de travailleurs informatiques opérant mondialement sous de fausses identités, infiltrant des entreprises Crypto, Web3 et IA pour obtenir un accès privilégié de l'intérieur.

Ces agents postulent à des rôles d'ingénierie et de DevOps, réussissent les entretiens techniques et travaillent dans les entreprises pendant des mois ou des années avant d'exploiter leur accès. Une fois à l'intérieur, ils peuvent exfiltrer des clés, installer des portes dérobées ou autoriser directement des transactions malveillantes. Les fonds volés suivent un cycle de blanchiment prévisible de 45 jours via des services en langue chinoise, des ponts cross-chain et des mixeurs spécialisés. Notamment, le Lazarus Group évite les protocoles de prêt DeFi et préfère les échanges à faible KYC pour l'encaissement.

Pour comprendre comment la Corée du Nord blanchit les cryptos volées via les infrastructures de ponts, voirQu'est-ce qu'un pont crypto ?

Russie — le stablecoin A7A5

L'activité crypto de la Russie en 2025 s'est concentrée sur le stablecoin A7A5, un jeton lié au rouble qui a traité un volume total de 72 milliards de dollars (dont environ 34 % de wash trading). L'A7A5 sert de pont aux entreprises russes pour accéder aux chaînes d'approvisionnement mondiales tout en contournant les sanctions occidentales. Des enquêtes ont lié les transactions A7A5 à l'acquisition de composants de missiles via des intermédiaires en Chine et au Kirghizistan.

Les transactions crypto liées aux sanctions ont bondi de 694 % en 2025, atteignant 154 milliards de dollars de volume illicite total pour l'ensemble des entités liées à la Russie. Pour en savoir plus sur les risques queles stablecoins comportentau-delà de la stabilité des prix, incluant l'exposition aux sanctions et le risque de contrepartie, consultez notre guide sur les risques des stablecoins.

Iran — dominance du CGRI

Le Corps des Gardiens de la révolution islamique (CGRI) a dominé l'activité crypto iranienne en 2025. Rien qu'au quatrième trimestre, les adresses liées au CGRI ont reçu plus de 50 % de toute la valeur circulant vers les entités iraniennes on-chain. Le CGRI a déplacé plus de 3 milliards de dollars via des canaux crypto pour financer des réseaux de milices régionales et acquérir des équipements à double usage.

En février 2026, des frappes militaires américano-israéliennes sur les infrastructures iraniennes ont déclenché des mouvements d'actifs on-chain en temps réel depuis des portefeuilles liés au CGRI — un exemple frappant de données blockchain servant de baromètre aux conflits militaires cinétiques. L'intelligence on-chain est devenue un outil d'analyse géopolitique à part entière.

6. EIP-7702

6. Nouveaux vecteurs d'attaque : EIP-7702 et risques d'abstraction de compte

La mise à jour Pectra d'Ethereum en mai 2025 a introduit l'EIP-7702, un changement technique avec des implications de sécurité majeures encore en cours d'analyse. L'EIP-7702 permet aux comptes détenus de l'extérieur (EOA) — les portefeuilles utilisateurs standards — d'agir temporairement comme des contrats intelligents en déléguant l'exécution à une adresse de contrat.

Cela crée plusieurs surfaces d'attaque inédites :

• Rupture des protections contre la réentrance.La protection historiquerequire(tx.origin == msg.sender), utilisée par de nombreux contrats pour empêcher la réentrance, n'est plus fiable. Un EOA ayant délégué à un contrat peut désormais être simultanément l'origine de la transaction et l'exécuteur du contrat.
• Contournement de listes blanches.Les contrats qui autorisent des adresses EOA spécifiques supposent que ces adresses ne peuvent pas exécuter de code arbitraire. Avec l'EIP-7702, un EOA sur liste blanche peut devenir une passerelle programmable, exécutant n'importe quelle logique contenue dans son contrat délégué.
• Échecs de détection d'adresse.La vérificationextcodesize, couramment utilisée pour déterminer si une adresse est un contrat, renvoie désormais des résultats peu fiables pour les EOA délégués. La logique de sécurité dépendant de la distinction entre portefeuilles utilisateurs et contrats peut être déjouée.

Ces risques ne sont pas théoriques. Des chercheurs en sécurité ont démontré des preuves de concept d'exploits quelques semaines après la mise à jour. Tout protocole n'ayant pas audité ses contrats face aux changements de comportement de l'EIP-7702 opère avec des hypothèses qui pourraient ne plus être valides. Il s'agit d'une surface d'attaque nouvelle qui n'existait tout simplement pas avant mai 2025.

7. Début 2026

7. Début 2026 : signes de maturité — et nouvelles menaces

Février 2026 a apporté une statistique frappante : une baisse de 98,2 % des pertes dues aux piratages par rapport à février 2025 (26,5 millions $ contre plus de 1,5 milliard $). Bien que la comparaison soit biaisée par l'anomalie Bybit, la tendance générale début 2026 suggère une meilleure préparation de l'industrie — du moins contre les vecteurs d'attaque qui ont dominé 2025.

Mais le premier trimestre 2026 a également apporté de nouveaux incidents démontrant l'évolution continue du paysage des menaces :

Le vol de 282 millions de dollars subi par un utilisateur de Trezor mérite une attention particulière. Un détenteur individuel a été convaincu par des escrocs se faisant passer pour des agents du support de révéler sa phrase de récupération (seed phrase). Il s'agit désormais de l'attaque d'ingénierie sociale la plus coûteuse contre un individu dans l'histoire de la crypto.Portefeuilles matériels (Hardware wallets)offrent une protection robuste contre les logiciels malveillants et l'extraction de clés à distance — mais ils n'offrent aucune protection contre un utilisateur qui remet volontairement sa phrase de récupération. L'appareil ne peut pas distinguer une récupération légitime d'une attaque par ingénierie sociale.

Les incidents TrueBit et YieldBlox illustrent également un problème persistant : des contrats hérités présentant des classes de vulnérabilité connues (dépassements d'entiers, manipulation d'oracles) restent déployés et détiennent des fonds. Les nouvelles chaînes comme Stellar ne sont pas immunisées contre les schémas d'attaque que les protocoles basés sur Ethereum ont appris à parer. Pour en savoir plus sur la façon dontles gens perdent leurs cryptosà travers des défaillances techniques et humaines, consultez notre guide.

8. Fraude alimentée par l'IA

8. Fraude alimentée par l'IA : l'usurpation d'identité 2.0

L'année 2025 a vu une augmentation de 89 % des attaques basées sur l'IA à travers l'écosystème crypto. La convergence des grands modèles de langage (LLM), de la technologie deepfake d'échange de visage et du clonage de voix a fondamentalement modifié l'économie de l'ingénierie sociale.

Les escrocs utilisant l'IA déploient désormais des deepfakes vidéo en temps réel pour les appels et utilisent des agents de support simulés par LLM capables de maintenir des conversations cohérentes et contextuelles pendant des heures. Ces outils extraient 4,5 fois plus d'argent par attaque réussie que les escrocs humains traditionnels. Le volume est tout aussi préoccupant : les opérateurs assistés par l'IA exécutent jusqu'à 35 transferts frauduleux par jour, contre 3,8 pour les escrocs uniquement humains.

Une menace émergente signalée par les chercheurs en sécurité fin 2025 est l'« empoisonnement d'agent IA » — l'injection de données malveillantes dans des agents de trading automatisés ou des bots DeFi pour détourner des fonds. À mesure que davantage d'utilisateurs délèguent l'exécution des transactions à des agents IA, la surface d'attaque s'étend : un flux de prix empoisonné ou un ensemble de données d'entraînement manipulé peut amener un agent à exécuter des transactions au profit de l'attaquant. Ce risque est aggravé par le fait que la plupart des agents IA opèrent avec des approbations de jetons (token approvals) étendues, leur donnant la permission de déplacer des actifs sans confirmation de l'utilisateur par transaction.

Pour des mesures pratiques afin de se défendre contre ces menaces, voirRester en sécurité dans la crypto.

9. Effondrement de l'infrastructure NFT

9. L'effondrement de l'infrastructure NFT

Bien qu'il ne s'agisse pas d'une histoire de piratage au sens traditionnel, l'effondrement de l'infrastructure NFT de 2025-2026 représente un type différent de défaillance de sécurité : la perte d'intégrité des actifs par l'abandon des plateformes.

L'offre de NFT a augmenté de 25 % en 2025, mais le volume des ventes a chuté de 37 %, le prix de vente moyen tombant sous les 100 $ pour la plupart des segments de marché. La pression économique s'est avérée fatale pour plusieurs plateformes majeures : Nifty Gateway a fermé en février 2026, suivi par les retraits de Kraken NFT et Bybit NFT.

Le problème profond est structurel. L'analyse montre que 27 % des collections NFT majeures dépendent de serveurs centralisés pour leurs métadonnées — les images, descriptions et attributs qui définissent ce qu'un NFT représente réellement. Lorsque ces plateformes ferment, les liens vers les métadonnées se brisent. Des milliers de NFT pointent désormais vers des URL mortes. Les jetons existent toujours sur la chaîne, mais ils ne font référence à rien. Des millions de dollars d'actifs ont été réduits à des pointeurs numériques vides.

C'est une forme derisqueque la plupart des acheteurs de NFT n'ont jamais envisagée : l'immutabilité du jeton sur la blockchain ne s'étend pas au contenu hors-chaîne auquel il fait référence. La véritable permanence nécessite un stockage on-chain ou décentralisé (IPFS avec épinglage, Arweave), ce que la plupart des collections n'ont jamais mis en œuvre.

10. Réponse réglementaire

10. Réponse réglementaire : l'ère de la transparence obligatoire

L'ampleur des pertes de 2025 a accéléré les calendriers réglementaires dans le monde entier. Le développement le plus significatif est le règlement de l'UE sur les marchés de crypto-actifs (MiCA), qui entre en application complète le 1er juin 2026.

MiCA exige une licence formelle pour tous les prestataires de services sur crypto-actifs (PSCA/CASP), des réserves de capital auditées et des règles strictes de ségrégation des actifs. Le règlement impose que les fonds des clients soient détenus séparément des actifs de l'entreprise — une réponse directe au modèle FTX où les dépôts des clients étaient mélangés aux opérations de trading.

Au-delà de MiCA, plusieurs tendances réglementaires axées sur la sécurité ont pris de l'ampleur en 2025 :

• Preuve de réserves cryptographique— les attestations basées sur les arbres de Merkle et les preuves de réserves on-chain remplacent les déclarations traditionnelles. Les bourses capables de démontrer leur solvabilité en temps réel acquièrent un avantage concurrentiel.
• Certification SOC 2 Type II— devient la norme de sécurité de base pour l'infrastructure crypto institutionnelle, couvrant les contrôles d'accès, la gestion des changements et la réponse aux incidents.
• Surveillance en temps réel et pause de protocole— le modèle de Venus Protocol (septembre 2025) a montré ce qui est possible : la surveillance Hexagate a détecté une attaque entrante 18 heures avant l'exécution, le protocole a été mis en pause via une action de gouvernance, et les fonds ont été récupérés. Cette approche de « défense en profondeur » devient un modèle.
• Application de la Travel Rule— l'UE exige désormais des informations d'identité pour les transferts de crypto dépassant 1 000 €, alignant la crypto sur les exigences des virements bancaires traditionnels.
• Conformité dès la conception (Compliance-by-design)— la surveillance des sanctions de l'OFAC est de plus en plus intégrée directement dans les contrats intelligents et les interfaces utilisateur, empêchant les adresses sanctionnées d'interagir avec les protocoles au niveau du contrat.

11. Ce que cela signifie pour vous

11. Ce que cela signifie pour vous

Les données de 2025 racontent une histoire claire : la surface d'attaque s'est déplacée de manière décisive du code vers les personnes et les opérations. Pour les utilisateurs individuels et les gestionnaires de portefeuille, les implications pratiques sont significatives.

Vos plus grands risques ne sont pas là où vous le pensez.Les approbations de jetons oubliées, les environnements de signature compromis et l'ingénierie sociale sont désormais plus dangereux que les bugs de contrats intelligents. Si vous avez déjà accordé des approbations illimitées à un protocole que vous n'utilisez plus, ces approbations restent actives et exploitables. Examinez-les et révoquez-les.

Les portefeuilles matérielsprotègent contre les logiciels malveillants et l'extraction de clés à distance, mais ils ne peuvent pas vous empêcher de révéler votre phrase de récupération à un usurpateur convaincant. Le vol de 282 millions de dollars d'un utilisateur de Trezor est l'illustration la plus coûteuse de cette distinction. Aucun appareil matériel ne peut annuler la décision d'un utilisateur de remettre sa phrase de récupération.

L'auto-garde (self-custody) combinée à une véritable décentralisation reste le modèle de défense le plus solide — si vous gérez le risque humain. Les protocoles qui ont survécu intacts à 2025 étaient ceux dotés d'une véritable décentralisation : gestion distribuée des clés, gouvernance avec verrouillage temporel et absence de point de défaillance humain unique. Pour obtenir des conseils sur l'évaluation de ces propriétés, voirComprendre le risque dans la DeFi.

Des outils comme CleanSky existent pour vous aider à voir votre exposition complète : toutes les positions, toutes les approbations de jetons, tous les risques de protocole sur chaque chaîne — en une seule vue. Lorsque la surface d'attaque est aussi large, la visibilité est la première ligne de défense.

Les perspectives institutionnelles sont également pertinentes pour le contexte. D'ici fin 2026, 76 % des investisseurs institutionnels devraient augmenter leur exposition aux actifs numériques. Les capitaux affluant dans la crypto augmentent, ce qui signifie que la valeur à risque et la sophistication des attaquants continueront de croître. Le paysage de la sécurité de 2025 est la nouvelle base de référence, pas le sommet.

12. Points clés à retenir