Les piratages crypto ont drainé 1,5 milliard $ en 2024 — 2025 est déjà pire

Les piratages crypto ont drainé près de 1,5 milliard de dollars de l'industrie en 2024 à travers 232 incidents distincts, selon le rapport annuel d'Immunefi. Ce chiffre représentait une baisse de 17% par rapport aux 1,8 milliard de dollars perdus en 2023. Mais l'amélioration fut de courte durée : à la fin du T1 2025, les pertes avaient déjà dépassé le total de 2024, portées par le plus grand piratage unique de l'histoire crypto.

1,5 milliard de dollars volés en 2024 : deux piratages ont représenté plus d'un tiers de toutes les pertes

Le total de 1 495 487 055 $ de pertes en 2024 s'est réparti sur des centaines d'incidents, mais deux violations d'exchanges ont représenté une part disproportionnée. Le DMM Bitcoin japonais a perdu 305 millions de dollars lors d'un piratage en mai 2024, tandis que l'indien WazirX a subi une violation de 235 millions de dollars en juillet. Ensemble, ces deux incidents représentaient 36% du total annuel.

Le piratage, et non la fraude, était le vecteur de menace dominant. Les exploits ont représenté 98,1% de toutes les pertes (1,47 milliard de dollars), tandis que les arnaques et rug pulls ne constituaient que 1,9%. Le T2 2024 fut le pire trimestre, avec 572,7 millions de dollars volés, soit une augmentation de 115,7% par rapport au T2 2023. Le mois de mai seul a vu 358,5 millions de dollars drainés.

Le changement structurel le plus frappant en 2024 fut la divergence entre finance centralisée et décentralisée. Les pertes CeFi ont bondi de 77,5% en glissement annuel pour atteindre 726,2 millions de dollars sur seulement 11 incidents, ce qui signifie que chaque violation CeFi s'élevait en moyenne à environ 66 millions de dollars. Les pertes DeFi, en revanche, ont chuté de 44,8% à 769,3 millions de dollars, mais étaient réparties sur 221 incidents.

Cette division est importante. Les protocoles DeFi ont été touchés plus souvent mais pour des montants plus faibles, suggérant que l'amélioration de l'audit des smart contracts et des pratiques de sécurité produit un effet. Les plateformes CeFi, qui détiennent de plus grands pools concentrés de fonds d'utilisateurs, sont devenues des cibles de plus grande valeur avec moins de violations mais beaucoup plus dommageables. Pour les investisseurs évaluant le risque de garde, les données suggèrent que la sécurité des exchanges n'a pas suivi le rythme du paysage des menaces, même si le contrôle réglementaire plus large des banques et institutions financières, y compris l'assouplissement des exigences de capital pour les grandes banques, continue d'évoluer.

2025 a dépassé le total de 2024 avant la moitié de l'année

En février 2025, un incident unique a réécrit les records. Bybit, l'un des plus grands exchanges crypto au monde, a perdu environ 1,4 milliard de dollars dans ce que les entreprises de médecine légale blockchain et le FBI ont attribué au groupe Lazarus de Corée du Nord. C'était le plus grand piratage crypto jamais enregistré, dépassant de loin tous les incidents précédents.

La violation de Bybit seule a presque égalé le total de l'industrie pour 2024. À la fin du T1 2025, les pertes cumulées avaient atteint 1,64 milliard de dollars, dépassant déjà le chiffre de l'année complète 2024. En avril 2025, les données d'Immunefi montraient 1,7 milliard de dollars de pertes totales, quatre fois plus élevées en glissement annuel et 14% au-dessus du total de 2024.

Ethereum et BNB Chain ont ensemble représenté environ 60% des pertes totales au niveau des chaînes en 2025, reflétant à la fois la concentration de l'activité DeFi et l'ampleur des actifs détenus sur ces réseaux. L'accélération des pertes a contribué à une détérioration marquée du sentiment du marché, le débat réglementaire en cours autour des produits de rendement crypto ajoutant une incertitude supplémentaire.

L'indice Fear & Greed se situait à 23 (Peur Extrême) à la mi-mars 2026, reflétant l'anxiété persistante des investisseurs face à l'ampleur des violations de 2025. Le piratage de Bybit, en particulier, a ravivé les débats sur la question de savoir si les exchanges centralisés peuvent être dignes de confiance pour une garde à grande échelle, une question qui s'étend à la pression institutionnelle croissante autour de produits comme les ETF Bitcoin au comptant.

Les hackers parrainés par des États et l'ingénierie sociale changent le modèle de menace

L'attaque de Bybit n'était pas un exploit de smart contract. Les rapports indiquent que la violation impliquait la manipulation des interfaces de signature front-end, un vecteur d'ingénierie sociale qui contourne les protections traditionnelles de stockage à froid. Cela représente un changement fondamental des exploits au niveau du protocole qui définissaient les piratages DeFi antérieurs vers des attaques de la chaîne d'approvisionnement et de la couche humaine.

Le groupe Lazarus de Corée du Nord est devenu l'acteur de menace le plus important dans la sécurité crypto. Le groupe a systématiquement ciblé les exchanges et les protocoles DeFi pour financer les activités de l'État, les désignations du Trésor américain et du FBI confirmant ce schéma. En 2024 seul, les acteurs liés à la Corée du Nord étaient responsables d'une part substantielle de tous les vols crypto à l'échelle mondiale.

Mitchell Amador, PDG d'Immunefi, a reconnu le défi structurel tout en soulignant les défenses émergentes.

Sur la DeFi spécifiquement, Amador a noté que « nous pourrions soutenir que la DeFi devient plus sûre grâce à une maturité de sécurité améliorée, bien que la DeFi opère toujours dans l'un des environnements les plus hostiles du logiciel. »

Les données soutiennent un tableau prudemment mitigé. La baisse de 44,8% des pertes DeFi en glissement annuel suggère que la culture d'audit, la vérification formelle et les programmes de bug bounty fonctionnent au niveau du protocole. Mais la hausse de 77,5% de CeFi, combinée à la violation de Bybit, montre que les plus grandes plateformes de garde de l'industrie restent vulnérables aux attaques sophistiquées et ciblées qui exploitent les processus humains plutôt que le code.

Les mesures défensives concrètes qui gagnent du terrain incluent les améliorations de la vérification multi-signature, les contrôles d'intégrité front-end et les programmes de bug bounty élargis. Immunefi seul a facilité plus de 100 millions de dollars en paiements de primes aux hackers white-hat. La question de savoir si ces mesures peuvent évoluer assez rapidement pour dépasser les attaquants parrainés par des États avec des incitations d'un milliard de dollars définira la prochaine phase de l'évolution de la sécurité crypto.

Avertissement : Cet article est à des fins informatives uniquement et ne constitue pas un conseil financier ou d'investissement. Les marchés des crypto-monnaies et des actifs numériques comportent des risques importants. Faites toujours vos propres recherches avant de prendre des décisions.