Quel a été le plus grand piratage crypto de l'histoire ?

Le plus grand piratage crypto de l'histoire a été celui de Bybit en février 2025, où le groupe Lazarus de Corée du Nord a dérobé environ 1,5 milliard de dollars en compromettant l'interface utilisateur du multisig Safe utilisé par l'échange. Le record précédent était détenu par le piratage du Ronin Bridge (625 M$) en 2022, également attribué au groupe Lazarus.

Combien de cryptomonnaies ont été volées ?

Des dizaines de milliards de dollars en cryptomonnaies ont été volés depuis 2020 via des piratages, des exploits et des fraudes. En incluant l'effondrement de FTX (plus de 8 Md$) et la destruction de Terra/LUNA (~60 Md$ en valeur de marché), les pertes totales sont colossales. Pour les seuls piratages, le chiffre dépasse les 7 milliards de dollars à travers les exploits de bridges, les failles d'échanges, les attaques DeFi et les compromissions de clés privées.

Qui est le groupe Lazarus ?

Le groupe Lazarus est une organisation de piratage parrainée par l'État nord-coréen, responsable de plus de 3 milliards de dollars de vols de cryptomonnaies. On leur attribue des attaques majeures, notamment le piratage de Bybit (1,5 Md$), celui du Ronin Bridge (625 M$), d'Atomic Wallet (100 M$), et d'autres. Les fonds volés serviraient à financer les programmes d'armement de la Corée du Nord.

Les bridges crypto sont-ils sûrs ?

Les bridges (ponts) crypto figurent parmi les composants les plus risqués de l'écosystème. Ils détiennent d'importantes réserves d'actifs verrouillés, ce qui en fait des cibles de haute valeur. Les principaux exploits de bridges incluent Ronin (625 M$), Wormhole (325 M$), Nomad (190 M$) et Multichain (126 M$). Bien que la sécurité des bridges se soit améliorée, les utilisateurs doivent rester prudents et éviter de transférer plus que nécessaire.

Les cryptomonnaies volées peuvent-elles être récupérées ?

Parfois, mais rarement. Dans des cas exceptionnels comme Poly Network (611 M$), le pirate a volontairement restitué tous les fonds. Euler Finance (197 M$) a été remboursé après négociation. KuCoin a récupéré la majeure partie de ses 280 M$. Cependant, la plupart des cryptos volées — surtout par des acteurs étatiques comme Lazarus — sont blanchies via des mixeurs et des sauts de chaînes (chain-hopping) et ne sont jamais retrouvées.

Comment fonctionnent les attaques par prêt flash (flash loan) ?

Une attaque par prêt flash exploite les protocoles DeFi en empruntant une quantité massive de crypto sans garantie, en l'utilisant pour manipuler un marché ou exploiter une vulnérabilité, en profitant de la manipulation, puis en remboursant le prêt — le tout au sein d'une seule transaction blockchain. Si une étape échoue, toute la transaction est annulée. Cela permet aux attaquants de mobiliser des capitaux énormes sans risquer leurs propres fonds.

Les plus grands piratages et exploits crypto (2020–2025)

Contexte Important

À propos de cet article

Cet article, Les plus grands piratages et exploits crypto (2020–2025) | CleanSky Learn, appartient au corpus de travail de David Pérez Cabrera : recherche appliquée, construction de produit et écriture avec un minimum de réalité derrière les mots. Le but n’est pas de se donner de l’importance, mais de rendre l’auteur et la continuité clairement lisibles.

À propos de CleanSky

Nouveau en crypto ? CleanSky est l'app bancaire DeFi conçue pour que vous compreniez enfin où va votre argent. Pas de jargon technique, pas de frais cachés, pas d'inscription — juste une interface claire qui analyse plus de 50 chaînes en langage humain.

Ce que fait CleanSky

CleanSky transforme la gestion de vos rendements crypto en quelque chose d'aussi simple que de consulter votre livret d'épargne. Les chiffres sont là, mis à jour, présentés sans jargon — vous savez en un coup d'œil si votre argent génère ce qu'il devrait générer.

À propos de Dilithia

La conviction derrière Dilithia est que l'infrastructure qui mérite la confiance générationnelle doit être construite pour le modèle de menace de la génération qu'elle sert. La cryptographie post-quantum ne peut pas être rapiécée quand elle est nécessaire ; l'exécution LLM-agent ne peut pas être greffée sur des protocoles conçus pour des transactions au rythme humain. Dilithia conçoit les deux dans le protocole dès le jour un, en appliquant les standards cryptographiques les plus forts disponibles aujourd'hui. Cette même conviction informe Les plus grands piratages et exploits crypto (2020–2025) | CleanSky Learn : construire ce qui doit survivre.

Le prix est ce que DILI coûte. La valeur est ce qu'il garantit.

Un fil conducteur

La continuité entre ces projets n’est pas esthétique, mais liée au critère. David Pérez Cabrera tend à préférer des outils sobres, lisibles et résistants, même lorsque cela va à contre-courant du marché.

En savoir plus: CleanSky · Founder · Dilithia · GitHub

2020 — Les douleurs de croissance de la DeFi

Alors que les protocoles DeFi se développaient en 2020, les attaquants ont découvert que les smart contracts détenant des millions de dollars présentaient souvent des failles logiques exploitables. Les prêts flash (flash loans) — des prêts sans garantie remboursés au sein d'une même transaction — sont devenus l'arme de prédilection.

Attaques par prêt flash bZx (~8 M$)

Les premiers exploits majeurs par prêt flash dans la DeFi. Les attaquants ont emprunté des sommes importantes, manipulé les prix sur des échanges décentralisés et profité de la distorsion — le tout en une seule transaction. Ces attaques ont démontré que la composabilité entre protocoles pouvait être détournée.

Harvest Finance (34 M$)

Manipulation de prix par prêt flash ciblant les coffres USDC et USDT de Harvest. L'attaquant a manipulé à plusieurs reprises les prix des pools Curve pour exploiter la manière dont Harvest calculait la valeur des dépôts, drainant les fonds via plusieurs transactions sur un court intervalle.

Piratage de KuCoin (280 M$)

Compromission du hot wallet de l'échange. Les attaquants ont accédé aux clés privées de KuCoin et retiré des fonds sur plusieurs blockchains. Notamment, la plupart des fonds volés ont finalement été récupérés grâce à la coopération avec d'autres échanges et projets qui ont gelé ou annulé les jetons.

2021 — Les exploits du "DeFi Summer"

La croissance explosive de la DeFi en 2021 a apporté des records de valeur totale verrouillée (TVL) — et des records d'exploits. Les protocoles cross-chain et les dépendances aux oracles sont devenus des cibles privilégiées.

Poly Network (611 M$)

Exploit d'un bridge cross-chain qui était, à l'époque, le plus grand piratage de l'histoire de la crypto. L'attaquant a exploité une vulnérabilité dans la vérification des messages inter-chaînes. Dans un revirement surprenant, le pirate — surnommé "Mr. White Hat" — a restitué tous les fonds volés, affirmant que l'attaque visait à exposer la faille.

Cream Finance (130 M$ sur plusieurs attaques)

Une série d'attaques par prêt flash et manipulation d'oracles au cours de l'année 2021. Cream Finance a été exploité à plusieurs reprises, soulignant comment les protocoles de prêt acceptant de nombreux types de garanties étendent leur surface d'attaque.

BadgerDAO (120 M$)

Attaque front-end via une clé API Cloudflare compromise. Les attaquants ont injecté des scripts malveillants dans l'interface web de Badger, incitant les utilisateurs à approuver des transferts de jetons vers des adresses contrôlées par l'attaquant. Les smart contracts du protocole n'ont jamais été exploités — seul le site web a été compromis.

Vulcan Forged (140 M$)

Compromission de clés privées affectant la plateforme de jeux et de NFT. Les attaquants ont obtenu les clés privées de plusieurs portefeuilles d'utilisateurs, drainant directement les fonds. L'incident a souligné les risques des plateformes qui gèrent les clés des utilisateurs en leur nom.

2022 — L'année où tout a basculé

2022 a été l'année la plus dévastatrice de l'histoire de la crypto. Exploits de bridges, attaques de gouvernance, effondrements de stablecoins algorithmiques et fraudes pures et simples se sont combinés pour des dizaines de milliards de pertes.

Ronin Bridge (625 M$)

Le groupe Lazarus de Corée du Nord a compromis 5 des 9 clés de validateurs sécurisant le bridge Ronin, qui alimentait Axie Infinity. La faille n'a pas été détectée pendant six jours. Ce fut le plus grand piratage jusqu'en 2025, démontrant le risque catastrophique des architectures de bridges reposant sur un petit ensemble de validateurs.

Wormhole (325 M$)

Un bug de vérification de signature dans le bridge Solana-Ethereum a permis à l'attaquant de frapper 120 000 wETH sur Solana sans déposer d'ETH. Jump Crypto, le soutien de Wormhole, a remplacé les fonds volés pour éviter des défaillances en cascade dans l'écosystème Solana.

Nomad Bridge (190 M$)

Un "exploit par copier-coller" où une mise à jour du code a accidentellement permis à n'importe qui de retirer des fonds en copiant une transaction valide et en y substituant sa propre adresse. Des centaines d'utilisateurs ont vidé le bridge — l'un des exploits les plus insolites de l'histoire de la DeFi.

Beanstalk (182 M$)

Attaque de gouvernance par prêt flash. L'attaquant a utilisé un prêt flash pour acquérir suffisamment de jetons de gouvernance afin de faire passer une proposition malveillante en une seule transaction, vidant la trésorerie du protocole. Cela a exposé une vulnérabilité fondamentale des systèmes de gouvernance on-chain sans verrouillage temporel (time locks).

Effondrement de Terra/LUNA (~60 Md$ de valeur de marché détruits)

Pas un piratage, mais l'événement de perte le plus important de l'histoire de la crypto. Le stablecoin algorithmique UST a perdu sa parité, déclenchant une spirale de la mort qui a anéanti l'UST et le LUNA. L'effondrement a prouvé que les stablecoins algorithmiques sans réserves suffisantes peuvent échouer de manière catastrophique et soudaine.

Effondrement de FTX (plus de 8 Md$ de fonds clients)

Pas un piratage mais une fraude. FTX, l'un des plus grands échanges centralisés, a été reconnu coupable d'avoir détourné des milliards de dépôts clients pour financer sa société de trading sœur, Alameda Research. L'effondrement a anéanti les fonds des clients, déclenché une contagion dans toute l'industrie et mené à des condamnations pénales.

Mango Markets (114 M$)

Manipulation d'oracle de prix sur la plateforme de trading basée sur Solana. L'attaquant a manipulé le prix du jeton MNGO en utilisant ses propres positions massives, puis a utilisé la valeur gonflée de la garantie pour emprunter et retirer d'autres actifs de la plateforme.

2023 — Les problèmes de bridges persistent

Malgré une vigilance accrue, les incidents liés aux bridges ont continué en 2023. Les attaques au niveau de l'infrastructure — compromission des services cloud et des membres de l'équipe plutôt que des smart contracts — sont devenues plus fréquentes.

Mixin Network (200 M$)

La base de données du fournisseur de services cloud a été compromise, donnant aux attaquants l'accès aux clés privées et aux fonds. Il ne s'agissait pas d'un exploit de smart contract mais d'une faille d'infrastructure, démontrant que même les protocoles bien conçus ne sont aussi sûrs que leur environnement d'hébergement.

Euler Finance (197 M$)

Attaque par prêt flash exploitant une vulnérabilité dans la logique de liquidation du protocole de prêt. Résultat notable : l'attaquant a restitué tous les fonds après négociation avec l'équipe d'Euler, ce qui en fait l'une des plus grandes récupérations de fonds réussies dans la DeFi.

Multichain (126 M$)

Le PDG du protocole a été arrêté par les autorités chinoises, et les clés privées sécurisant le bridge ont été compromises. Les fonds ont été retirés des contrats du bridge, et le protocole a effectivement cessé d'exister. Une mise en garde sur la gestion centralisée des clés dans des protocoles prétendument décentralisés.

Atomic Wallet (100 M$)

Les portefeuilles des utilisateurs ont été vidés via un vecteur d'attaque inconnu, le groupe Lazarus étant suspecté. La méthode exacte de compromission n'a jamais été pleinement divulguée, bien que les analyses suggèrent une vulnérabilité dans la chaîne d'approvisionnement ou la gestion des clés.

Dé-ancrage temporaire de l'USDC

Lors de l'effondrement de la Silicon Valley Bank, il a été révélé que Circle y détenait 3,3 Md$ de réserves USDC. L'USDC a brièvement chuté à 0,87 $ avant de se rétablir lorsque le gouvernement américain a garanti les dépôts de la SVB. Pas un piratage, mais une illustration frappante de la manière dont les stablecoins portent un risque bancaire réel.

2024 — Attaques sophistiquées

En 2024, les attaquants ont de plus en plus ciblé les personnes plutôt que le code. L'ingénierie sociale, les signataires compromis et le vol de clés privées ont dépassé les exploits de smart contracts comme principal vecteur d'attaque.

DMM Bitcoin (305 M$)

L'échange japonais DMM Bitcoin a subi une compromission de clés privées permettant aux attaquants de drainer les fonds. L'incident a confirmé que les échanges centralisés restent des cibles de haute valeur malgré des années d'améliorations de sécurité dans l'industrie.

PlayDapp (290 M$)

Compromission de clés privées sur la plateforme de jeu. Les attaquants ont accédé à une clé privilégiée et ont frappé de grandes quantités de jetons PLA, diluant et volant ainsi la valeur des détenteurs existants.

WazirX (235 M$)

Le plus grand échange crypto d'Inde a été exploité via son infrastructure de portefeuille multisig. L'attaquant a contourné la sécurité multi-signature, suggérant soit une ingénierie sociale des signataires, soit une vulnérabilité dans le processus de signature lui-même.

Radiant Capital (50 M$)

Les signataires du multisig ont été compromis via une ingénierie sociale sophistiquée. Les attaquants ont ciblé des détenteurs de clés individuels, prenant le contrôle de suffisamment de clés pour autoriser des transactions malveillantes. Un exemple direct de la raison pour laquelle la sécurité d'un multisig dépend entièrement des humains détenant les clés.

2025 — Records battus

2025 a débuté avec le plus grand piratage individuel de l'histoire de la crypto, établissant une nouvelle référence pour l'ampleur des dommages qu'un seul exploit peut causer.

Bybit (1,5 Md$)

Le plus grand piratage crypto de tous les temps. Le groupe Lazarus de Corée du Nord a compromis l'interface utilisateur du multisig Safe utilisé par Bybit, trompant les signataires pour qu'ils autorisent des transactions malveillantes. L'attaque n'a pas exploité de vulnérabilité de smart contract — elle a ciblé la couche d'interface humaine. Cet incident unique a presque égalé tous les exploits de bridges de 2022 réunis.

Cetus Protocol (223 M$)

Le plus grand DEX sur la blockchain Sui a été frappé par une attaque de la chaîne d'approvisionnement, entraînant des pertes de fonds importantes. L'incident a souligné que les nouveaux écosystèmes blockchain font face aux mêmes défis de sécurité que les plus anciens.

Tableau récapitulatif

Incidents majeurs classés par montant perdu :

Année	Incident	Montant perdu	Type	Récupéré ?
2025	Bybit	1,5 Md$	Échange	Non
2022	Effondrement FTX	8 Md$+	Fraude	Partiel (procédure de faillite)
2022	Terra/LUNA	~60 Md$ (valeur marché)	Échec stablecoin	Non
2022	Ronin Bridge	625 M$	Bridge	Non
2021	Poly Network	611 M$	Bridge	Oui (rendu par le pirate)
2022	Wormhole	325 M$	Bridge	Oui (Jump Crypto a remplacé les fonds)
2024	DMM Bitcoin	305 M$	Échange	Non
2024	PlayDapp	290 M$	DeFi	Non
2020	KuCoin	280 M$	Échange	Majoritairement récupéré
2024	WazirX	235 M$	Échange	Non
2025	Cetus Protocol	223 M$	DeFi	Non
2023	Mixin Network	200 M$	Bridge	Non
2023	Euler Finance	197 M$	DeFi	Oui (rendu après négociation)
2022	Nomad Bridge	190 M$	Bridge	Partiel
2022	Beanstalk	182 M$	DeFi	Non
2021	Vulcan Forged	140 M$	DeFi	Non
2021	Cream Finance	130 M$	DeFi	Non
2023	Multichain	126 M$	Bridge	Non
2021	BadgerDAO	120 M$	DeFi	Non
2022	Mango Markets	114 M$	DeFi	Partiel
2023	Atomic Wallet	100 M$	Échange	Non
2024	Radiant Capital	50 M$	DeFi	Non
2020	Harvest Finance	34 M$	DeFi	Non
2020	bZx	~8 M$	DeFi	Non

Schémas d'attaque courants

À travers six années d'exploits, les mêmes catégories d'attaques apparaissent de manière répétée :

Exploits de bridges

Les bridges cross-chain détiennent d'importantes réserves d'actifs et s'appuient sur des validateurs ou des preuves cryptographiques pour autoriser les retraits. Compromettre les validateurs ou la logique de vérification donne accès à tous les fonds verrouillés. Les bridges représentent la majorité des plus grands piratages individuels.

Attaques par prêt flash

Les prêts flash permettent à n'importe qui d'emprunter des millions sans garantie, à condition de rembourser au sein d'une seule transaction. Les attaquants utilisent ce capital pour manipuler les prix, exploiter des smart contracts vulnérables et extraire des profits — le tout sans risque initial. Si l'attaque échoue, la transaction est simplement annulée.

Compromission de clés privées

Ingénierie sociale, logiciels malveillants, phishing et menaces internes ciblant les humains qui détiennent les clés critiques. À mesure que la sécurité des smart contracts s'améliore, les attaquants s'en prennent de plus en plus aux personnes plutôt qu'au code. Ce fut le vecteur pour Bybit, DMM Bitcoin, Radiant Capital et bien d'autres.

Manipulation d'oracles

Les oracles fournissent des données de prix externes aux smart contracts. Si un attaquant peut influencer le prix rapporté par un oracle — en manipulant une paire de trading à faible liquidité, par exemple — il peut tromper les protocoles sur la valeur des actifs, permettant des exploits lucratifs.

Attaques front-end et supply chain

Plutôt que d'attaquer les smart contracts du protocole, les attaquants compromettent le site web ou les dépendances avec lesquelles les utilisateurs interagissent. La compromission de la clé API Cloudflare de BadgerDAO et la manipulation de l'interface Safe de Bybit en sont des exemples frappants. Le protocole peut être parfaitement sécurisé alors que l'interface est malveillante.

Attaques de gouvernance

Utiliser des prêts flash ou des jetons accumulés pour faire passer des propositions de gouvernance malveillantes qui vident la trésorerie d'un protocole. L'exploit de 182 M$ de Beanstalk a montré comment une gouvernance on-chain sans exécution différée peut être détournée en une seule transaction.

Attaques parrainées par des États

Le groupe Lazarus de Corée du Nord est responsable de plus de 3 milliards de dollars de vols crypto, incluant les piratages de Ronin Bridge, Bybit et Atomic Wallet. Ce sont des opérations bien financées, patientes, dotées de capacités d'ingénierie sociale sophistiquées dépassant de loin celles des cybercriminels classiques.

Leçons de six années d'exploits

Les bridges restent les cibles prioritaires. Toute architecture qui regroupe d'importantes quantités d'actifs derrière un petit nombre de clés ou de validateurs est intrinsèquement à haut risque. Le modèle de bridge concentre la valeur d'une manière extrêmement attrayante pour les attaquants.
Les points de défaillance centralisés sont critiques. Les portefeuilles multisig ne sont aussi sûrs que leurs signataires. Si une poignée de personnes peut autoriser des transactions d'un milliard de dollars, compromettre ces personnes suffit. La gestion des clés est le problème le plus difficile de la sécurité crypto.
Les audits de code aident mais ne sont pas infaillibles. De nombreux protocoles exploités avaient subi des audits professionnels. Les audits réduisent les risques mais ne peuvent garantir la sécurité — ils sont un instantané à un moment donné, et de nouvelles vulnérabilités peuvent être introduites via des mises à jour ou la composabilité avec d'autres protocoles.
L'ingénierie sociale est de plus en plus courante. À mesure que les smart contracts se sécurisent, les attaquants ciblent les humains qui les gèrent. Phishing, fausses offres d'emploi, canaux de communication compromis et usurpation d'identité sont tous utilisés pour accéder aux clés critiques.
Les acteurs étatiques sont de la partie. Les opérations persistantes et bien financées du groupe Lazarus signifient que les cibles crypto de haute valeur font face à des menaces comparables à celles pesant sur les infrastructures nationales. Ce n'est pas un problème que l'industrie peut résoudre seule.

Ce que cela signifie pour les utilisateurs

Les utilisateurs individuels sont rarement la cible directe de ces exploits à grande échelle. Mais comprendre le paysage des risques est important car :

Les protocoles dans lesquels vous déposez peuvent être exploités. La diversification entre protocoles réduit ce risque.
Les bridges que vous utilisez comportent des risques spécifiques et documentés. Minimisez l'exposition aux bridges quand c'est possible.
Les échanges auxquels vous confiez la garde de vos fonds peuvent faillir. Envisagez l'auto-garde (self-custody) pour les montants importants.
Les attaques front-end signifient que vous devez toujours vérifier ce que vous signez dans votre portefeuille avant d'approuver des transactions.

Lectures complémentaires :

Découvrez comment votre portefeuille est exposé aux risques de protocoles et de bridges — sans inscription requise.

Essayer CleanSky gratuitement →