Ce printemps, on assiste à une augmentation sans précédent des braquages ​​​​de pièces numériques de grande envergure

Table des matières L'industrie des cryptomonnaies a connu son chapitre le plus sombre en avril 2026, établissant un record sans précédent en termes de volume de failles de sécurité. Même si le montant total volé n’a pas dépassé les records des mois précédents, la fréquence des attaques a atteint des niveaux historiques. La plate-forme d'analyse de données DeFi Llama a documenté que les incidents d'exploitation dépassaient confortablement 20 pour la première fois dans l'histoire des crypto-monnaies. Les piratages cryptographiques d'avril ont atteint un niveau record et les pertes dues aux exploits atteignent 651 millions de dollars. Selon DefiLlama, avril a vu le plus grand nombre d'incidents de piratage cryptographique jamais enregistré. CertiK Alert a rapporté que les pertes confirmées dues aux exploits s'élevaient à environ 651 millions de dollars en avril, dont… pic.twitter.com/rydZC5vVu2 — Wu Blockchain (@WuBlockchain) 1er mai 2026 L'analyste du secteur Stacy Muur a identifié un minimum de 24 incidents de sécurité distincts à la fin du mois, calculant des pertes globales dépassant 600 millions de dollars. La violation la plus catastrophique du mois a visé Kelp DAO, une plateforme financière décentralisée, entraînant le vol de 292 millions de dollars d'actifs. Cet exploit massif a sonné l’alarme concernant l’exposition potentielle à des créances irrécouvrables chez Aave, considéré comme l’un des protocoles de prêt les plus importants de l’écosystème DeFi. Plusieurs entités se sont mobilisées avec un financement et des contributions d’urgence pour combler le déficit. Drift Protocol, une plateforme de trading perpétuelle construite sur Solana, a connu la deuxième attaque la plus dommageable du mois avec des pertes dépassant 280 millions de dollars. L’équipe de Drift a ensuite précisé que la violation n’était pas une vulnérabilité conventionnelle des contrats intelligents. Ils l’ont qualifié d’« opération de renseignement structurée » que les attaquants avaient soigneusement orchestrée pendant environ six mois. Les méthodologies d'attaque employées tout au long du mois d'avril sont devenues un point central pour les analystes de sécurité. Un observateur de cryptographie utilisant le pseudo CuriousCrypto sur X a souligné que ni Drift ni Kelp DAO n'ont été victimes de défauts de codage ou de vulnérabilités de contrats intelligents. Au contraire, les acteurs malveillants ont exploité des tactiques d’ingénierie sociale pour compromettre les personnes détenant un accès par clé administrative. Cela représente un changement critique dans les modèles d’attaque. Des procédures améliorées d’audit du code et des mesures de sécurité techniques se seraient révélées inefficaces contre ces vecteurs d’attaque axés sur l’humain. Hyperbridge, un protocole natif de l'écosystème Polkadot, a également été victime d'attaquants en avril, perdant 2,5 millions de dollars. L'auteur a initialement extrait environ 245 ETH avant de déployer un message cross-chain fabriqué pour contourner une validation de sécurité critique. Cette manipulation leur a permis de créer environ un milliard de jetons DOT pontés, qui ont ensuite été liquidés en bourse. L'analyste de la sécurité de la blockchain, Wazz, a tiré la sonnette d'alarme le 30 avril concernant ce qui semblait être un exploit en cours ciblant le réseau principal d'Ethereum. Des centaines d’adresses de portefeuille, dont beaucoup étaient inactives depuis plus de sept ans, ont été systématiquement vidées par une seule adresse d’attaquant dans un délai compressé. Wazz a qualifié la situation de « nouvel exploit réel, méritant d’être signalé », tout en reconnaissant que des détails complets restaient non vérifiés à ce moment-là. Le célèbre groupe Lazarus, une organisation de cybercriminalité ayant des liens avec la Corée du Nord, serait responsable d'environ 95 % des pertes financières cumulées d'avril, selon les rapports de sécurité. Ce collectif avait déjà été impliqué dans la compromission massive de Bybit de 1,4 milliard de dollars survenue en février 2025. Alors que les données historiques de DeFi Llama montrent trois mois distincts où les pertes de crypto-monnaie ont dépassé 1 milliard de dollars en valeur totale, l'importance d'avril 2026 réside dans la quantité sans précédent d'attaques individuelles plutôt que dans les montants globaux. Le 30 avril, l'Arbitrum DAO a lancé un vote de gouvernance pour autoriser la libération de 30 766 ETH gelés à DeFi United, une action directement liée à la résolution des conséquences découlant de l'incident de Kelp DAO.