Analyse des failles de sécurité dans l'industrie cryptographique : 20 incidents d'attaque typiques révèlent trois grandes tendances

BroadChain a appris que le 21 avril à 18h16, en avril 2026, Kelp DAO a subi une attaque où un acteur malveillant a utilisé des jetons non garantis pour emprunter des actifs réels sur Aave, générant plus de 200 millions de dollars de créances douteuses en 46 minutes, avec des pertes atteignant 292 millions de dollars. Ce n'est qu'un exemple parmi une série récente d'incidents de sécurité, avec des cas comme Drift Protocol volé à hauteur de 285 millions de dollars, Step Finance perdant environ 30 millions de dollars, et Resolv Labs subissant une perte d'environ 23 millions de dollars, survenant les uns après les autres. En examinant 20 incidents de vol représentatifs, tant historiques que récents, on peut observer trois tendances significatives : les cas de vulnérabilités techniques sont plus nombreux mais les pertes individuelles sont relativement limitées ; les attaques par ingénierie sociale et celles liées aux autorisations, bien que moins fréquentes, représentent la grande majorité des pertes totales ; et l'ampleur des attaques liées aux autorisations ne cesse d'augmenter. Il est à noter que les quatre incidents ayant causé les plus grandes pertes impliquent tous des groupes de hackers nord-coréens, tandis que le champ de bataille des vulnérabilités techniques se déplace, avec des problèmes de sécurité particulièrement prononcés dans le domaine des ponts inter-chaînes. Parmi les dix projets ayant subi les pertes les plus importantes, Bybit a été volé de 1,5 milliard de dollars en février 2025, en raison du groupe de hackers nord-coréen Lazarus Group qui a compromis le mécanisme multi-signature de Safe Wallet via un détournement d'interface utilisateur frontale et une fraude multi-signature ; Ronin Network a perdu 624 millions de dollars en mars 2022, également attribué à Lazarus Group qui a pris le contrôle des clés privées des nœuds de validation par ingénierie sociale ; Poly Network a été volé de 611 millions de dollars en août 2021, principalement en raison de graves vulnérabilités dans la gestion des autorisations des contrats inter-chaînes ; Wormhole a perdu 326 millions de dollars en février 2022, à cause de l'utilisation d'une fonction obsolète et non sécurisée dans le processus de vérification des signatures ; Drift Protocol a été volé de 285 millions de dollars en avril 2026, l'attaquant ayant mené une infiltration ciblée de six mois combinée à une escroquerie de pré-signature Solana Durable Nonce ; WazirX a perdu 235 millions de dollars en juillet 2024, après que son portefeuille multi-signature ait été progressivement compromis et remplacé par un contrat malveillant ; Cetus a perdu 223 millions de dollars en mai 2025, l'attaque exploitant une vulnérabilité de dépassement arithmétique dans le calcul de la liquidité du protocole ; Gala Games a perdu 216 millions de dollars en mai 2024, principalement en raison de la compromission de la clé privée du compte de frappe à haut niveau d'autorisation ; Mixin Network a perdu 200 millions de dollars en septembre 2023, après le vol de clés privées stockées de manière centralisée dans une base de données cloud ; Euler Finance a perdu 197 millions de dollars en mars 2023, l'attaque exploitant une incohérence dans la logique de calcul des actifs et passifs internes du protocole. Parmi les dix incidents récents, Hyperbridge a perdu environ 2,5 millions de dollars en avril 2026, en raison d'un défaut logique dans la vérification des preuves du Token Gateway ; Venus Protocol a perdu entre 3,7 et 5 millions de dollars en mars 2026, l'attaquant ayant contourné la vérification du plafond d'approvisionnement et exploité une vulnérabilité dans la logique de calcul des taux de conversion pour en tirer profit.