17 milliards de dollars en crypto volés en dix ans : voici les failles les plus exploitées

Les cryptopirates ont dérobé plus de 17 milliards de dollars en dix ans à travers 518 incidents, selon les nouvelles données de la plateforme DefiLlama. Le constat le plus frappant : les risques majeurs se situent de moins en moins dans les failles technologiques et de plus en plus chez les utilisateurs. Les vols de clés privées, le phishing et l’ingénierie sociale sont désormais les principales méthodes d’attaque.

Les clés privées, maillon faible

Près de 22 % des piratages ont été causés par des attaques par force brute, où les hackers cassent les clés privées en testant d’innombrables combinaisons. Dans 18 % des cas, la méthode utilisée reste inconnue, ce qui suggère que l’attaque n’a été détectée qu’après que le dommage ait été causé.

Le phishing demeure également une menace importante. Environ 10 % des attaques ciblent spécifiquement les portefeuilles multisignature, qui nécessitent plusieurs approbations pour une transaction. La faiblesse ne réside pas dans la blockchain elle-même, mais dans la manière dont les individus et les systèmes gèrent l’accès et la sécurité.

La plus grande attaque de 2026

Le problème, toujours d’actualité, s’est manifesté à nouveau le week-end dernier. Un pirate a dérobé environ 116 500 Ether restaké (rsETH) via le pont rsETH de Kelp DAO, construit sur LayerZero. Le butin était évalué entre 290 et 293 millions de dollars, la plus grande cryptopiraterie de 2026 à ce jour.

Au cours des soixante derniers jours, plus de 600 millions de dollars ont été volés dans des protocoles DeFi, selon la société de trading de cryptomonnaies GSR. Les attaques sur Kelp DAO et le protocole Drift basé sur Solana en sont les principales responsables.

De la technologie à l’humain

Le changement est net. Les contrats intelligents sont de mieux en mieux contrôlés et audités. Les pirates s’adaptent et ciblent désormais la sécurité opérationnelle, les outils de développement et les personnes derrière les projets. Un mot de passe faible, un clic inattentif sur un lien ou un employé trompé suffit.

Au premier trimestre 2026, les projets Web3 ont perdu 482 millions de dollars, dont 306 millions à cause du phishing et de l’ingénierie sociale, représentant près des deux tiers du total.

L’IA facilite les attaques

Les nouvelles technologies baissent la barrière d’entrée pour les cybercriminels. L’IA permet d’attaquer plus rapidement et à plus grande échelle. Par ailleurs, l’offre de hacking-as-a-service se développe, fournissant des outils prêts à l’emploi pour les criminels moins expérimentés.

Selon Dyma Budorin, PDG de l’entreprise de cybersécurité Hacken, un portefeuille peut être intégralement vidé dès qu’un utilisateur clique sur un lien malveillant. Une astuce courante consiste à envoyer de petits montants vers un portefeuille, espérant que le propriétaire copiera par erreur la mauvaise adresse lors d’un transfert.

Il y a aussi de bonnes nouvelles

Les pertes dues au phishing ont considérablement diminué en 2025, preuve d’une prise de conscience croissante chez les utilisateurs. Cependant, de nouvelles formes de malwares et de techniques d’attaque continuent d’émerger. La bataille évolue, mais elle n’est pas gagnée.

Pour les investisseurs, le message reste inchangé : la plus grande menace pour vos cryptomonnaies n’est pas une erreur dans un contrat intelligent, mais un moment d’inattention. Conserver les clés privées hors ligne, ne jamais cliquer sur des liens inconnus et vérifier chaque transaction restent les meilleures défenses.