Principaux piratages crypto de 2025 : incidents qui ont mis en lumière les points faibles de l’industrie

2025 a été une année importante pour l’industrie crypto, mais elle s’est imposée comme une arme à double tranchant dans l’ensemble.

D’une part, l’industrie a mûri en termes d’adoption institutionnelle, avec un nombre record de fusions et acquisitions.

Il y a eu 267 transactions totalisant 8,6 milliards de dollars, ce qui en fait une année rentable pour ceux qui se situent du bon côté de l’échange.

En revanche, les pertes dues aux piratages et exploits ont atteint un record record, révélant jusqu’où le secteur reste encore à aller en matière de sécurité.

Les données de sociétés de sécurité comme SlowMist et CertiK ont rapporté que le nombre d’incidents de sécurité a diminué de 50 % d’une année sur l’autre, passant de plus de 400 en 2024 à environ 200 en 2025.

Mais l’ampleur des pertes financières raconte une autre histoire. Le total des fonds volés a bondi de 55 % par rapport à l’année précédente, atteignant plus de 3,4 milliards de dollars.

Alors que l’hygiène de sécurité de base, comme les audits de routine des contrats intelligents et la détection automatisée des bugs, élimine avec succès les fruits faciles que les hackers amateurs ciblaient, la nature des attaques a fondamentalement changé.

Les attaquants modernes ne jettent plus un large filet pour les faibles vulnérabilités des protocoles.

Au lieu de cela, des groupes professionnalisés, notamment le groupe nord-coréen Lazarus, passent des mois à la reconnaissance et à l’infiltration d’infrastructures pour mener des frappes uniques et catastrophiques.

L’industrie fait désormais face à une crise de qualité plutôt que de quantité, où moins d’attaques ont lieu, mais celles qui arrivent sont bien plus dommageables.

Alors que 2026 commence, voici un retour sur quatre des plus grands incidents de sécurité de 2025, qui ont mis en lumière de nombreux points faibles de l’industrie.

Bybit Exchange : 1,5 milliard de dollars

Le plus grand incident de l’année s’est produit au plateforme crypto Bybit, basé à Dubaï, qui est devenu le plus grand vol confirmé jamais lié au groupe Lazarus nord-coréen.

Les attaquants ont passé des mois à instaurer la confiance d’un développeur chez Safe{Wallet}, un important fournisseur d’infrastructures multisignature, avant de parvenir à introduire un projet Docker malveillant qui a discrètement établi une porte dérobée persistante.

Une fois à l’intérieur, les attaquants ont injecté du JavaScript malveillant dans le code frontend de l’interface du portefeuille Safe utilisée par l’équipe interne de signature de Bybit.

Alors que les dirigeants de Bybit se connectaient pour signer ce qui semblait être des transactions internes courantes, l’interface utilisateur affichait les adresses et montants corrects des portefeuilles.

Au niveau du code, cependant, l’adresse de destination était silencieusement remplacée par des portefeuilles contrôlés par l’attaquant.

Environ 1,46 milliard à 1,5 milliard de dollars d’ETH ont été drainés, affectant un grand nombre d’utilisateurs exposés à l’une des défaillances de sécurité les plus graves que l’industrie ait connues.

L’incident a révélé un point faible critique de l’industrie concernant la confiance dans l’interface, renforçant que les portefeuilles matériels et les seuils multisignature offrent peu de protection si la couche logicielle présentant les détails de la transaction a été compromise.

Og Bitcoin whale : 330 millions de dollars

En avril dernier, une baleine Bitcoin de l’ère Satoshi, qui gardait ses pièces intactes depuis plus d’une décennie, a été victime d’une attaque dévastatrice d’ingénierie sociale qui a entraîné la perte de 3 520 BTC, d’une valeur d’environ 330,7 millions de dollars à l’époque.

L’incident est devenu gravé dans l’histoire comme le plus grand vol individuel de l’histoire de l’industrie, comme l’a fait le cas le détective en chaîne ZachXBT.

Contrairement aux attaques qui ciblent le code, celle-ci a utilisé des deepfakes alimentés par l’IA et le clonage vocal pour contourner les défenses psychologiques de la victime sur plusieurs mois.

Les auteurs, soupçonnés d’être un syndicat organisé opérant depuis un centre d’appels sophistiqué à Camden, au Royaume-Uni, utilisant des pseudonymes comme « Nina » et « Mo », ont instauré un faux sentiment de sécurité auprès de la victime âgée en se faisant passer pour des conseillers juridiques et techniques de confiance.

Finalement, les attaquants ont dirigé la victime vers un faux portail de « vérification de sécurité » qui imitait le site officiel d’un fournisseur de portefeuilles bien connu, où la victime était manipulée pour saisir ses identifiants privés ou signer une transaction spécifique sur son appareil matériel sous prétexte d’une « mise à niveau de compte ». Les fonds ont été immédiatement transférés.

Les fonds ont rapidement été blanchis via des « chaînes à peau » et convertis en monnaie de confidentialité Monero (XMR), provoquant une hausse de prix de 50 % du Monero en raison de la demande soudaine et massive.

L’incident a finalement révélé l’extrême vulnérabilité des individus à fort potentiel qui ne disposent pas de services de garde institutionnels, montrant qu’aucun chiffrement ne peut protéger les actifs si la couche humaine est efficacement manipulée.

Exploit du protocole Cetus : 223 millions de dollars

Le protocole Cetus, qui est le plus grand central décentralisé du réseau Sui, a été exploité en mai en raison d’une défaillance technique de sa logique de contrats intelligents.

L’exploiteur a identifié une faille arithmétique critique dans une bibliothèque mathématique open source partagée utilisée pour les calculs de liquidité, ce qui leur a permis de drainer environ 223 millions de dollars d’actifs de liquidité.

Plus précisément, la fonction a été conçue pour mettre en valeur en toute sécurité les nombres à virgule fixe en les décalant vers la gauche de 64 bits.

Cependant, il contenait une erreur logique lors de son contrôle de débordement. La comparaison utilisait un masque trop grand, ce qui permettait des décalages bit à bit qui auraient dû être rejetés.

En utilisant un prêt flash pour créer une position de fournisseur de liquidité avec une plage de ticks extrêmement étroite, l’attaquant déclenchait un débordement arithmétique, plus précisément une troncature bit par bit, qui faisait que le contrat calculait un dépôt obligatoire de seulement 1 unité de jeton tout en créditant l’attaquant d’une liquidité massive.

L’attaquant a alors simplement supprimé la liquidité, réclamant les vraies réserves du pool sur la base d’une comptabilité faussement gonflée.

Bien que les validateurs de Sui aient réussi à coordonner un gel d’urgence sur 162 millions de dollars d’actifs avant qu’ils ne puissent être transférés, la perte nette est restée l’une des plus importantes en 2025.

Cela a prouvé à l’écosystème financier décentralisé que des langages modernes orientés sécurité comme Move ne sont pas intrinsèquement à l’abri des bogues mathématiques, et a renforcé que la rigueur mathématique reste une exigence non négociable dans la conception des protocoles.

Balancer V2 : 128 millions de dollars

Balancer a subi une faille d’ingénierie économique sophistiquée à travers plusieurs chaînes (Ethereum, Arbitrum et Base) en novembre, lorsqu’un attaquant a réussi à instrumentaliser une petite incohérence dans la gestion de l’arrondi de précision lors des échanges internes.

Les Composable Stable Pools de Balancer utilisaient différentes directions d’arrondi pour l’augmentation et la réduction de la montée en puissance des tokens afin de protéger l’Invariant du protocole, qui sert d’ancre mathématique à l’algorithme StableSwap, garantissant ainsi que le pool maintient une valeur totale constante et un équilibre lors des échanges d’actifs.

L’attaquant a découvert qu’en poussant les équilibres du pool dans une plage spécifique de 8 à 9 Wei, il pouvait faire chuter la division d’entiers jusqu’à 10 % de la valeur par des erreurs d’arrondi à la baisse.

Par la suite, grâce à un contrat automatisé, l’attaquant a initié une seule transaction contenant plus de 65 micro-échanges.

Chaque échange réduisait à plusieurs reprises quelques Wei de valeur, aggravant la perte de précision jusqu’à ce que la comptabilité interne du pool soit complètement faussée.

En conséquence, ils ont pu profiter de la perte de précision composée jusqu’à ce que la comptabilité interne du pool soit complètement déformée, après quoi ils ont pu frapper des jetons LP à un prix supprimé et les échanger instantanément pour leur pleine valeur, en extrayant des millions sans déclencher aucun contrôle de sécurité du protocole.