DefiLlama recense 518 piratages de cryptos et plus de 17 milliards de dollars de pertes en 10 ans, les attaquants se détournant des contrats intelligents pour cibler les clés, les ponts et les portefeuilles, alors que rsETH perd environ 290 millions de dollars.
Le coût de la sécurité de la crypto au cours de la dernière décennie a discrètement dépassé les 17 milliards de dollars, selon les données de DefiLlama citées par Cointelegraph, avec au moins 518 piratages et exploits documentés ayant affecté des bourses, des protocoles DeFi, des ponts et des portefeuilles depuis 2014. Ce chiffre couvre tout, des effondrements de bourses aux attaques inter-chaînes sophistiquées d'aujourd'hui, et ce, même si le rythme général des exploits on-chain majeurs a ralenti par rapport aux années de pic d'effervescence comme 2021-2022.
Cependant, en coulisses, la composition de ces pertes est en train de changer. Alors que les premiers piratages DeFi reposaient souvent sur des bugs de contrats intelligents et une logique de prêts flash non vérifiée, les incidents récents montrent que les attaquants ciblent de plus en plus les "tissus mous" de la crypto — clés privées, infrastructure de signature et appareils des utilisateurs — par le vol d'identifiants, l'ingénierie sociale et les attaques de type SIM swap. Les entreprises de sécurité ont déclaré à Cointelegraph qu'elles s'attendaient à ce que 2026 apporte des attaques d'hameçonnage plus avancées et des escroqueries assistées par IA capables d'inciter même les utilisateurs avertis techniquement à signer des transactions malveillantes ou à révéler des phrases de récupération.
L'infrastructure des ponts a été un point faible particulier. Le tableau de bord des piratages de DefiLlama montre que les ponts représentent près de 3 milliards de dollars des quelque 11,8 milliards qu'il classe comme « valeur totale piratée », avec de grands incidents isolés comme les exploits Ronin, Wormhole et Multichain qui donnent le ton pour le risque inter-chaînes. Le dernier ajout à cette liste est le pont inter-chaînes rsETH de Kelp DAO, qui a été attaqué le 18 avril après qu'un attaquant a forgé un message inter-chaînes sur un lien basé sur LayerZero et a émis ou libéré 116 500 rsETH vers une adresse contrôlée par l'attaquant.
Ces jetons — représentant de l'Ether "restaké" — valaient environ 290 à 293 millions de dollars à l'époque, soit environ 18 % de l'offre totale de rsETH, et ont été qualifiés de plus grand exploit DeFi de 2026 à ce jour par des médias, dont Bloomberg. L'incident a contraint Kelp DAO à mettre le pont en pause, à coordonner les réponses d'urgence avec les bourses et les protocoles, et a déclenché un jeu de blâme concernant la configuration par défaut à validateur unique de LayerZero, que les critiques estiment avoir laissé le système à un seul "clic de clé" d'une émission catastrophique.
Même en dehors des exploits qui font les gros titres, les compromissions quotidiennes de justificatifs continuent d'accumuler des dommages. Les données de DefiLlama citées par Cointelegraph montrent qu'au premier trimestre 2026 seulement, des hackers ont volé environ 168,6 millions de dollars à 34 protocoles DeFi, la plus grande attaque individuelle — un vol de 40 millions de dollars chez Step Finance — remontant à une compromission de clé privée plutôt qu'à un simple bug de code. Cette tendance suggère que la sécurité des contrats intelligents de la DeFi se renforce lentement, tandis que les attaquants réagissent en remontant la chaîne, ciblant les outils et les processus humains qui se situent entre les portefeuilles et les protocoles.
Pour les utilisateurs et les équipes, la leçon est brutale mais claire : les audits et la vérification formelle sont nécessaires, mais pas suffisants. Les clés matérielles, les schémas de multi-signature, les dispositifs de signature séparés, les politiques strictes de gestion des clés et une hygiène anti-hameçonnage implacable sont désormais aussi critiques pour la protection des cryptos que l'étaient les optimisations de gaz et les primes aux bugs — car il suffit d'un seul identifiant compromis pour transformer une autre ligne de la base de données des piratages de DefiLlama en une perte à neuf chiffres.
