Évolution des modes d'attaque dans l'industrie crypto à travers 20 incidents de sécurité

BroadChain a appris que le 21 avril à 19h00, en avril 2026, Kelp DAO a subi une perte de 292 millions de dollars due à un attaquant exploitant des tokens non garantis pour des prêts sur Aave, ce qui n'est qu'un exemple parmi une série d'incidents de sécurité récents. Du Drift Protocol avec 285 millions de dollars à Step Finance avec environ 30 millions de dollars, en passant par Resolv Labs avec environ 23 millions de dollars, l'industrie fait face à des défis de sécurité persistants. L'analyse de 20 cas représentatifs dans l'histoire révèle plusieurs tendances clés : bien que les vulnérabilités techniques soient majoritaires, les pertes individuelles sont relativement limitées, tandis que les attaques par privilèges et ingénierie sociale, bien que moins nombreuses, représentent la grande majorité des pertes totales. L'ampleur des attaques par privilèges continue d'augmenter, les quatre incidents les plus coûteux étant tous liés à des groupes de hackers nord-coréens. Parallèlement, le champ de bataille des vulnérabilités techniques se déplace, les problèmes de sécurité des ponts inter-chaînes étant particulièrement préoccupants. Parmi les dix projets ayant subi les plus grandes pertes, Bybit a perdu 1,5 milliard de dollars en février 2025 à cause du groupe de hackers nord-coréen Lazarus Group via un détournement de front-end et une fraude multisignature ; Ronin Network a perdu 624 millions de dollars en mars 2022 à cause d'une attaque d'ingénierie sociale ; Poly Network a perdu 611 millions de dollars en août 2021 à cause d'une vulnérabilité de privilège dans les contrats inter-chaînes ; Wormhole a perdu 326 millions de dollars en février 2022 à cause d'une vulnérabilité de vérification de signature ; Drift Protocol a perdu 285 millions de dollars en avril 2026 à cause d'une infiltration ciblée et d'une escroquerie par pré-signature ; WazirX a perdu 235 millions de dollars en juillet 2024 à cause d'une attaque progressive sur un portefeuille multisignature ; Cetus a perdu 223 millions de dollars en mai 2025 à cause d'une vulnérabilité de dépassement arithmétique ; Gala Games a perdu 216 millions de dollars en mai 2024 à cause d'une fuite de clé privée d'un compte à haut privilège ; Mixin Network a perdu 200 millions de dollars en septembre 2023 à cause d'une fuite de clé privée d'une base de données cloud ; Euler Finance a perdu 197 millions de dollars en mars 2023 à cause d'une incohérence logique de calcul interne exploitée par un flash loan. Parmi les cas récents, Hyperbridge a perdu environ 2,5 millions de dollars en avril 2026 à cause d'un défaut logique de vérification de preuve, et Venus Protocol a perdu entre 3,7 et 5 millions de dollars en mars 2026. Ces incidents révèlent que les modes d'attaque évoluent des simples vulnérabilités de smart contracts vers des attaques combinées plus complexes ciblant les faiblesses de l'interaction homme-machine et la gestion des privilèges.