Avis : clôture des chiffres du premier semestre 2026 avec les données du rapport de TRM Labs publié le 3 juillet 2026, confrontées à The Block, UPI et BeInCrypto. Il s'agit d'une analyse éditoriale de CleanSky sur des incidents publics et des estimations de tiers — l'attribution à la Corée du Nord est une thèse de firmes forensiques, non un fait confirmé par un tribunal —, et non d'un guide de sécurité ou d'un conseil financier. CleanSky ne reçoit aucune commission ni paiement par referral de la part des firmes ou protocoles cités.
Le premier semestre 2026 s'est achevé sur un record inconfortable : 207 piratages de cryptomonnaies, le nombre le plus élevé jamais enregistré par TRM Labs sur un semestre, et pourtant seulement 972 millions de dollars dérobés — soit moins de la moitié des 2 300 millions de la même période en 2025. Plus d'attaques, moins d'argent : la fréquence et la sévérité se sont découplées, et l'explication tient en deux chiffres. La Corée du Nord (via le groupe étatique Lazarus) a concentré environ 643 millions de dollars, soit 66 % du total, en seulement deux coups en avril. Le piratage médian du semestre, en revanche, a coûté 219 000 dollars. Au 5 juillet 2026, avec le rapport consolidé désormais disponible, cet article dresse le bilan du semestre : ce que disent les chiffres définitifs, pourquoi le nombre d'incidents explose alors que le butin s'effondre, et ce que ce découplage révèle sur une sécurité DeFi qui mûrit à deux vitesses. Nous ne réitérons pas ici l'argument selon lequel l'attaque s'est déplacée du contrat vers le périmètre — thèse que nous avons déjà défendue avec des données partielles en juin — ; nous posons le chiffre de clôture et le paradoxe fréquence-sévérité comme le véritable trait distinctif de ce semestre.
Combien a été volé en crypto au premier semestre 2026 ?
La vue d'ensemble est signée TRM Labs, une firme d'analyse on-chain (qui suit l'argent directement sur la blockchain) dont les rapports semestriels servent de référence au secteur. Sa clôture du 3 juillet met en avant deux chiffres qui, lus ensemble, semblent se contredire : 207 incidents individuels — le semestre comptant le plus de piratages jamais enregistré — et 972 millions de dollars volés au total, sous la barre psychologique du milliard et moins de la moitié des pertes de l'année précédente.
Le contraste avec 2025 est la clé pour comprendre ce semestre. Au premier semestre 2025, on dénombrait 83 incidents pour 2 300 millions de dollars volés. Sur la même période en 2026, le nombre d'incidents a été multiplié par deux et demi, mais l'argent dérobé a chuté de plus de moitié. Un écosystème subissant beaucoup plus d'attaques perd paradoxalement beaucoup moins d'argent. C'est ce paradoxe qui structure tout le reste.
| Métrique (premier semestre) | 2025 | 2026 | Variation |
|---|---|---|---|
| Incidents enregistrés | 83 | 207 | +149 % |
| Pertes totales | 2.300 millions de dollars | 972 millones de dollars | −58 % |
| Attribué à la Corée du Nord | ~1.700 millions de dollars | ~643 millions de dollars | −62 % |
| Part de la Corée du Nord | ~74 % | 66 % | −8 pp |
Il convient de lire la dernière colonne avec prudence : le fait que la Corée du Nord ait volé moins d'argent en termes absolus ne signifie pas que l'écosystème a expulsé l'acteur le plus dangereux. Cela signifie qu'un seul semestre dépend tellement d'une poignée de grandes opérations qu'il suffit que cet acteur connaisse un semestre « faible » — deux coups au lieu de cinq — pour que le chiffre agrégé de tout le secteur s'effondre. La sécurité de la DeFi, mesurée en dollars volés, reste l'otage des agissements d'une poignée d'opérateurs étatiques.
Pourquoi plus d'attaques mais moins d'argent volé ?
La réponse courte est que deux populations d'attaques qui ne se croisent presque jamais s'additionnent. D'un côté, une masse croissante d'exploits de contrats intelligents (failles dans le code régissant les fonds) de faible valeur : nombreux, peu coûteux à exécuter et aux butins modestes. De l'autre, une poignée de compromissions d'infrastructure — vol de clés privées, empoisonnement des processus opérationnels entourant le code — qui sont rares mais dévastatrices. La première population gonfle le nombre d'incidents ; la seconde gonfle le montant en dollars. Il s'agit rarement de la même attaque.
La donnée qui capture le mieux ce phénomène n'est pas un total, mais l'écart entre la moyenne et la médiane. La perte moyenne par incident au premier semestre 2026 était de 4,7 millions de dollars. La perte médiane — celle du piratage qui laisse exactement la moitié des cas au-dessus et la moitié en dessous — n'était que de 219 000 dollars. Quand la moyenne est vingt et une fois supérieure à la médiane, la distribution n'a pas une forme de cloche : elle ressemble à un gratte-ciel entouré de cabanes. Quelques coups gigantesques tirent la moyenne vers le haut, tandis que l'immense majorité des incidents ne sont, financièrement parlant, que du bruit de fond.
C'est là la véritable texture du semestre. Un titre affirmant que « 4,7 millions ont été volés en moyenne par piratage » décrirait un écosystème qui n'existe pas : le piratage typique de 2026 ne dérobe pas des millions, mais quelques centaines de milliers. Et un titre affirmant que « le piratage typique coûte 219 000 dollars » occulterait le fait que deux opérations ont emporté plus que les deux cent cinq autres réunies. Seuls les deux chiffres lus simultanément disent la vérité : fréquence et sévérité vivent désormais sur des planètes différentes.
Quel rôle a joué la Corée du Nord dans les pertes de 2026 ?
Le gratte-ciel de cette distribution a un nom. Sur les 972 millions volés au cours du semestre, environ 643 millions — soit 66 % du total — sont attribués par TRM Labs à des acteurs liés à la Corée du Nord, et la quasi-totalité de cet argent est sortie par deux portes ouvertes durant le même mois. Le 1er avril 2026, Drift Protocol a perdu environ 285 millions de dollars suite à une opération d'ingénierie sociale de plusieurs mois, où les attaquants se sont fait passer pour une firme de trading quantitatif pour obtenir l'accès. Quelques semaines plus tard, le 18 avril, KelpDAO a perdu environ 292 millions via l'exploit de son bridge (le pont qui déplace les actifs entre les chaînes). Ensemble : environ 577 millions en dix-huit jours.
Nous ne reconstruisons pas ici la mécanique de ces deux coups — nous l'avons fait incident par incident dans comment Lazarus a volé 577 millions de la DeFi en 18 jours sans exploiter un seul bug. Ce qui importe pour le bilan, c'est l'arithmétique de la concentration : deux incidents sur deux cent sept expliquent près de six dollars sur dix volés durant tout le semestre.
| Segment du semestre | Incidents | Pertes | % du total |
|---|---|---|---|
| Drift + KelpDAO (avril, attribués à la Corée du Nord) | 2 | ~577 millions de dollars | ~59 % |
| Reste du semestre | 205 | ~395 millions de dollars | ~41 % |
| Total premier semestre 2026 | 207 | 972 millions de dollars | 100 % |
Le chiffre qui donne la dimension historique est cumulé : selon TRM Labs, le vol de cryptomonnaies attribué à la Corée du Nord depuis 2017 dépasse désormais les 6 000 millions de dollars. Il ne s'agit ni d'opportunisme ni de délinquance commune ; les panels d'experts des Nations Unies décrivent depuis des années le pillage crypto comme une ligne de financement étatique alimentant le programme d'armement du régime. C'est pourquoi l'acteur ne « se retire » pas après un semestre discret : il revient. Et une partie du défi ultérieur réside dans ce qu'il fait de l'argent une fois volé, un problème de blanchiment que nous abordons dans le cas de THORChain et les fonds de Lazarus.
Pourquoi le piratage médian coûte 219 000 dollars et la moyenne 4,7 millions ?
L'écart entre ces deux chiffres n'est pas une curiosité statistique : c'est le portrait de deux économies de l'attaque qui cohabitent sous la même étiquette de « piratage crypto ». Il est utile de les séparer par vecteur, car le rapport de TRM permet de le faire avec des chiffres.
| Vecteur d'attaque | Part des incidents | Part des pertes |
|---|---|---|
| Compromission d'infrastructure et clés privées | ~15 % | ~76 % |
| Exploits de contrat intelligent | ~60 % (125 sur 207) | part minime |
| Autres vecteurs | ~25 % | reste |
La lecture est presque spéculaire. 15 % des incidents — les compromissions d'infrastructure, où l'attaquant vole la clé privée ou détourne les opérations entourant le code — ont emporté près de 76 % de tout l'argent. À l'autre extrémité, 125 des 207 incidents étaient des exploits de contrats intelligents, soit la majorité du décompte, mais ils ont à peine fait bouger l'aiguille en dollars. Les exploits de code sont désormais le bruit de fond à haute fréquence ; les compromissions d'infrastructure sont les rares tirs qui atteignent le coffre-fort.
C'est ici que ce bilan semestriel rejoint une thèse que nous avons déjà défendue : l'objectif du grand vol s'est déplacé du contrat audité vers le périmètre qui l'entoure. Nous l'avons argumenté avec les données de pourquoi les hacks de 2026 attaquent l'infrastructure, pas le contrat. Le rapport consolidé du semestre ne contredit pas cette lecture : il la confirme avec le chiffre définitif. Les 76 % de pertes par compromission d'infrastructure dans seulement 15 % des cas marquent précisément le déplacement du locus de l'attaque sur six mois.
La sécurité de la DeFi s'améliore-t-elle ou empire-t-elle ?
La réponse honnête est : les deux à la fois, à des niveaux différents. Si l'on regarde le contrat intelligent, la sécurité s'est améliorée de façon tangible. Le fait qu'il y ait 125 exploits de contrat et qu'ils ne dérobent qu'une fraction mineure du butin total signifie que les audits, la vérification formelle et les bug bounties ont rendu si coûteux le vidage d'un protocole sérieux par le code que cela n'est plus rentable pour les grands attaquants. Le contrat s'est durci, et les chiffres le prouvent.
Mais si l'on regarde le périmètre — l'infrastructure, les clés, les opérateurs humains, la configuration des ponts —, la sécurité n'a pas suivi le même rythme. C'est de là que proviennent 76 % de l'argent, et c'est là que la défense ne dispose pas de l'équivalent d'un audit de contrat. C'est une maturité inégale : l'industrie a blindé la partie qu'elle savait protéger et a laissé relativement découverte celle qui change quotidiennement et que presque personne n'examine avec la même rigueur. La chute du butin total est réelle et constitue une bonne nouvelle ; l'attribuer au fait que « la DeFi est plus sûre » sans nuance reviendrait à confondre un semestre creux de Lazarus avec une défense qui aurait résolu le problème de fond.
Ce rapport s'inscrit d'ailleurs dans une continuité. La clôture du premier trimestre pointait déjà dans la même direction avec moins de données ; la comparaison est disponible dans le rapport de sécurité DeFi du premier trimestre 2026. Lus en séquence, trimestre et semestre racontent la même histoire avec une netteté croissante : le nombre d'incidents augmente, l'argent par incident baisse, et le gros butin se concentre entre très peu de mains.
L'attribution à la Corée du Nord est-elle fiable ?
C'est la question qu'un lecteur sceptique doit se poser, et la réponse exige de la nuance. L'attribution des 643 millions à la Corée du Nord est une estimation de firmes d'analyse forensique — TRM Labs en tête, rejointe par d'autres maisons —, construite à partir de modèles on-chain, de réutilisation d'adresses, de techniques de blanchiment et de recoupements avec des opérations antérieures déjà attribuées. C'est une méthode solide et largement acceptée dans l'industrie, mais il s'agit d'une inférence statistique sur le comportement de l'argent, non d'un aveu ou d'une sentence judiciaire.
Et il y a une contestation ouverte. La Corée du Nord a déjà rejeté en mai 2026 — en réponse à un rapport partiel précédent de TRM Labs — toute implication, qualifiant les accusations de « calomnie absurde » et d'outil politique des États-Unis, sans toutefois réfuter la méthode forensique ; au 5 juillet, aucune réaction publique de sa part n'a été enregistrée concernant le rapport semestriel du 3 juillet. Rien de tout cela n'invalide les chiffres — la convergence entre firmes indépendantes est pertinente —, mais cela oblige à les énoncer avec précision : 643 millions attribués à des acteurs liés à la Corée du Nord, et non 643 millions dont l'auteur est prouvé au-delà de tout doute. Le bilan du semestre inclut également cette mise en garde : le chiffre phare repose sur une attribution que son auteur présumé nie.
Quelle leçon tirer de ce semestre ?
Le premier semestre 2026 laisse un titre qui se lit mal d'un coup d'œil, mais bien avec deux chiffres en main. « Record de piratages » est vrai — 207, un sommet historique — et « minimum de pertes depuis des années » l'est aussi — 972 millions, sous le milliard et moins de la moitié de 2025. Les deux phrases décrivent le même semestre car elles mesurent des choses différentes : l'une compte les attaques, l'autre compte l'argent, et en 2026, ces deux grandeurs ont divorcé.
Pour celui qui construit des protocoles, la leçon est que le nombre d'audits du contrat en dit de moins en moins sur le risque réel : l'argent important sort par le périmètre. Pour celui qui utilise la DeFi, la leçon est une question d'exposition : le piratage qui vous affectera probablement n'est pas celui qui fait les gros titres avec 285 millions, mais l'un des deux cent cinq à la médiane modeste. La meilleure défense individuelle reste de savoir quelle infrastructure soutient chaque actif que vous touchez et de détecter rapidement quand un incident commence à le contaminer. Et pour le secteur dans son ensemble, la leçon est une leçon d'humilité statistique : tant qu'un seul acteur étatique peut décider, en deux opérations, si le semestre se clôture à 972 millions ou à 2 300 millions, parler d'une « DeFi plus sûre » exige de regarder la médiane autant que le total.
Articles liés : Comment Lazarus a volé 577 millions de la DeFi en 18 jours. Pourquoi les hacks de 2026 attaquent l'infrastructure, pas le contrat. Rapport de sécurité DeFi du premier trimestre 2026. Surveillez vos positions et l'exposition de votre portfolio sur CleanSky — le piratage qui vous touche est rarement celui des gros titres, mais l'un des nombreux à la médiane modeste qui passent inaperçus.