Les piratages Web3 ont coûté 464 millions de dollars au premier trimestre, le phishing étant à l'origine de la majorité des pertes : Hacken

Les projets Web3 ont perdu 464,5 millions de dollars à cause des piratages et des escroqueries au premier trimestre 2026, tandis que les « méga-piratages » de plusieurs milliards de dollars ont donné lieu à un plus grand nombre d'incidents de taille moyenne, selon la société de sécurité blockchain Hacken.

Selon le rapport de Hacken pour le premier trimestre 2026, les attaques de phishing et d’ingénierie sociale ont dominé la période, représentant 306 millions de dollars de pertes au cours d’un trimestre qui a vu 43 incidents au total. Une seule arnaque au portefeuille matériel de 282 millions de dollars en janvier a été responsable de 81 % des dégâts du trimestre.

Les exploits des contrats intelligents ont totalisé 86,2 millions de dollars, avec des échecs de contrôle d'accès, y compris des clés et des services cloud compromis, entraînant des pertes supplémentaires de 71,9 millions de dollars.

Les pertes placent ce trimestre comme le deuxième trimestre le plus bas depuis 2023, avec l’absence d’un seul méga-piratage de l’ampleur de Bybit, qui a perdu 1,46 milliard de dollars au premier trimestre 2025, principal moteur de la baisse d’une année sur l’autre.

La cartographie des incidents de Hacken montre que les défaillances les plus importantes se produisent de plus en plus en dehors du code onchain, dans les couches opérationnelles et d'infrastructure que les audits traditionnels touchent rarement. Yev Broshevan, directeur général et co-fondateur de Hacken, a déclaré à Cointelegraph que les échecs les plus coûteux « se produisent entièrement en dehors de la couche de code ».

En relation: Aethir arrête l'exploitation du pont et promet une compensation après une perte de 90 000 $

Selon Hacken, ce changement suscite une plus grande surveillance de la part des régulateurs et des contreparties institutionnelles, avec des cadres tels que la réglementation des marchés d'actifs cryptographiques (MiCA) et la loi sur la résilience opérationnelle numérique (DORA) dans l'Union européenne qui progressent davantage dans l'application et suscitent des attentes en matière de surveillance continue de la sécurité et de réponse aux incidents.

Code hérité, faux appels VC et compromissions clés

Broshevan a souligné 306 millions de dollars de phishing, un faux appel de capital-risqueur (VC) de 40 millions de dollars lié à la Corée du Nord contre Step Finance et un compromis de 25 millions de dollars sur le service de gestion de clés AWS chez Resolv Labs. Même lorsque les contrats intelligents étaient en cause, les bugs les plus coûteux résidaient souvent dans les déploiements existants et les classes de vulnérabilité connues. Truebit a perdu 26,4 millions de dollars à cause d'un bug dans un contrat Solidity déployé il y a environ cinq ans, tandis que Venus Protocol a été touché par un modèle d'attaque de don documenté depuis 2022.

T1 2025 par rapport au T1 2026. Source : Hacken.

Six projets audités, dont Resolv avec 18 audits et Venus avec cinq cabinets distincts, représentaient toujours 37,7 millions de dollars de pertes. En moyenne, c'est plus que leurs homologues non audités, car les protocoles à valeur totale verrouillée (TVL) plus élevée attirent des attaquants et des exploits plus sophistiqués.

Les organismes de surveillance mondiaux durcissent les attentes en matière de réponse aux incidents

Au premier trimestre, MiCA et DORA dans l'UE se sont davantage orientées vers une application active, le régulateur de Dubaï, la Virtual Assets Regulatory Authority, a resserré les attentes concernant son règlement sur la technologie et l'information, Singapour a appliqué les règles de capital alignées sur Bâle et de notification d'incident dans un délai d'une heure, et la nouvelle Autorité du marché des capitaux des Émirats arabes unis a pris en charge la surveillance fédérale des actifs numériques avec des pouvoirs plus larges et des sanctions plus élevées.

Total des pertes cryptographiques par trimestre. Source : Hacken

En relation : Les pirates cryptographiques volent 169 millions de dollars à 34 protocoles DeFi au premier trimestre : DefiLlama

Hacken associe ces régimes à une nouvelle référence pour les piles « prêtes pour le régulateur » qui comprend des attestations de preuve de réserves étayées par un rapprochement interne quotidien, une surveillance en chaîne 24h/24 et 7j/7 des portefeuilles de trésorerie et des rôles privilégiés, des disjoncteurs automatisés pour les fonctions de frappe et de gouvernance et des horloges de notification d'incidents calibrées selon la norme applicable la plus stricte.

Le rapport met en évidence des objectifs « réalistes » de sensibilisation dans les 24 heures, d’étiquetage dans les quatre heures et de blocage dans les 30 secondes, avec des objectifs « ambitieux » aussi bas que 10 minutes pour la détection et 1 seconde pour le blocage, sur la base des directives des données 2025 Laundering Race de Global Ledger.

Au niveau humain, Hacken considère les clusters nord-coréens comme la menace opérationnelle la plus constante, avec la perte de 40 millions de dollars de Step Finance et la violation de l'infrastructure de Bitrefill étendant un manuel de fausse sensibilisation au capital-risque, d'outils d'appel vidéo malveillants et de points de terminaison d'employés compromis qui ont extrait environ 2,04 milliards de dollars du secteur en 2025.

Magazine : XRP n'a pas encore « évalué » 3 catalyseurs haussiers, Bitcoin à 80 000 $ ? Secrets commerciaux