← Retour aux articles

Comment fonctionnent les exploits DeFi: schémas d'attaque, risques on-chain et que faire en cas de victime

23 juin 202616 min de lectureRenseignement sur les menaces
Comment fonctionnent les exploits DeFi: schémas d'attaque, risques on-chain et que faire en cas de victime

Les protocoles DeFi ont perdu collectivement des milliards de dollars à cause d'exploits depuis 2020. Le deuxième trimestre 2026 a été le pire trimestre jamais enregistré, avec plus de 70 attaques distinctes ayant drainé environ 746 millions de dollars en seulement trois mois. La plupart des personnes touchées n'avaient aucune idée de leur exposition. Elles avaient déposé des fonds dans ce qui semblait être un protocole légitime, avaient perçu des rendements pendant des mois, puis un matin avaient trouvé leur solde à zéro. Comprendre comment ces attaques fonctionnent, comment réduire son exposition on-chain et quelles mesures concrètes prendre si un protocole que vous utilisez est exploité n'est pas un savoir optionnel pour quiconque participe à DeFi.

1. Pourquoi DeFi est particulièrement vulnérable aux exploits

La finance décentralisée repose sur trois propriétés qui la rendent à la fois puissante et dangereuse: le code open source, la composabilité et l'irréversibilité. Chaque smart contract déployé sur une blockchain publique est lisible par n'importe qui, y compris les attaquants. Les cabinets d'audit examinent le code avant le lancement, mais les audits ont une portée limitée et ne peuvent pas prédire comment les contrats interagiront une fois déployés dans un écosystème complexe où des dizaines de protocoles se composent les uns sur les autres en temps réel.

La composabilité est souvent décrite comme des "Lego monétaires" parce que les protocoles peuvent être empilés les uns sur les autres, la sortie de l'un alimentant directement l'autre. Cela crée une efficacité considérable mais aussi une surface d'attaque considérable. Une vulnérabilité dans un seul pool de liquidité peut être combinée avec des prêts flash d'un protocole de prêt distinct, en passant par un bridge, pour produire une attaque qu'aucun audit individuel n'aurait pu anticiper.

La troisième propriété est l'irréversibilité. Quand un exploit draine des fonds on-chain, il n'y a pas de rétrofacturation, pas d'équipe anti-fraude à appeler et aucune possibilité d'annuler la transaction. Le FBI a averti directement à ce sujet en août 2022, notant qu'entre janvier et mars 2022, 97% de toutes les cryptomonnaies volées provenaient de plateformes DeFi. [1] Ce même rapport a documenté 1,3 milliard de dollars volés dans DeFi au cours du seul premier trimestre de cette année.

L'ampleur du problème en 2026

Le deuxième trimestre 2026 a été le trimestre le plus actif pour les exploits crypto jamais enregistré. Plus de 70 incidents distincts ont drainé environ 746 millions de dollars des protocoles DeFi entre avril et juin 2026. [10][15] Les bridges inter-chaînes ont représenté environ 351 millions de dollars de ce total. Le nombre d'incidents trimestriels a dépassé tous les records précédents, y compris les pires trimestres de l'essor DeFi de 2022. Pour contexte: le précédent record annuel était de 3,8 milliards de dollars volés sur l'ensemble de 2022. [4] La surface d'attaque DeFi ne s'est pas réduite. Elle a augmenté.

Chainalysis a rapporté que 2,2 milliards de dollars avaient été volés sur les plateformes crypto au cours de l'ensemble de 2024. [2] Le rapport sur la criminalité crypto 2026 de TRM Labs a confirmé que les attaques d'infrastructure ciblant les clés privées et les identifiants d'administrateur représentaient 76% de la valeur totale des cryptomonnaies volées en 2025. [6]

Les sections suivantes décomposent chaque catégorie majeure d'attaque avec des exemples spécifiques, expliquent pourquoi chacune fonctionne et identifient les mesures pratiques que les utilisateurs peuvent prendre pour réduire leur exposition.

2. Attaques sur les bridges inter-chaînes: le vecteur de pertes le plus important

Les bridges inter-chaînes permettent aux utilisateurs de transférer des actifs d'une blockchain à une autre en bloquant des tokens sur la chaîne source et en frappant des tokens équivalents sur la chaîne de destination. Des milliards de dollars de liquidité se trouvent à tout moment dans les smart contracts des bridges, ce qui en fait parmi les cibles les plus précieuses de l'ensemble de l'écosystème crypto.

La surface d'attaque d'un bridge est plus large que la plupart des utilisateurs ne le réalisent. Les bridges ne reposent pas seulement sur le code des smart contracts -- ils reposent également sur des réseaux de validateurs hors chaîne, des processus de signature multi-signatures et, dans certains cas, des opérateurs centralisés qui détiennent des clés privées.

L'attaque du bridge Wormhole en février 2022 a exploité une faille de vérification des signatures. Un attaquant a trouvé un moyen de forger une signature de gardien valide, convainquant le contrat qu'un dépôt avait été effectué du côté Ethereum alors que ce n'était pas le cas. Perte totale: 320 millions de dollars. [4][11]

Le piratage du bridge Ronin en mars 2022: des hackers parrainés par l'État nord-coréen (Lazarus Group) ont compromis cinq clés privées de validateurs par le biais d'hameçonnages ciblés contre des employés de Sky Mavis. Avec cinq clés, ils ont autorisé des retraits de 173 600 Ether et 25,5 millions d'USDC. Perte totale: 625 millions de dollars. [2][6]

Pourquoi les bridges sont si difficiles à sécuriser

Chaque bridge implique une hypothèse de confiance quelque part. La plupart des bridges font des compromis pragmatiques -- ensembles de validateurs plus petits, finalité plus rapide, coûts de gaz plus faibles. Ces compromis créent une surface d'attaque. [11] Au deuxième trimestre 2026, les attaques sur les bridges ont représenté environ 351 millions de dollars des pertes totales du trimestre. [10] Chainalysis a documenté en 2022 que les exploits de bridges représentaient 69% de toutes les cryptomonnaies volées cette année-là. [4] Pour les utilisateurs: l'exposition aux bridges est un risque. Minimisez le temps en transit, privilégiez les bridges audités avec des ensembles de validateurs décentralisés.

3. Bugs dans les smart contracts: reentrancy, erreurs logiques et failles de contrôle d'accès

Les vulnérabilités des smart contracts ne proviennent pas seulement d'erreurs évidentes, mais aussi d'interactions subtiles entre contrats, ou de l'environnement d'exécution unique de l'EVM.

La reentrancy est la vulnérabilité de smart contract la plus ancienne et la plus tristement célèbre. Elle se produit lorsqu'un contrat effectue un appel externe avant de mettre à jour son propre état interne. Le piratage du DAO de 2016 a utilisé la reentrancy pour drainer 60 millions de dollars. [1] Le protocole Penpie a été drainé de 27 millions de dollars en septembre 2024 par une faille de reentrancy.

Les erreurs logiques sont souvent plus difficiles à détecter. Qubit Finance a subi une perte de 80 millions de dollars en janvier 2022 lorsqu'une fonction acceptait un dépôt d'un token obsolète et créditait des actifs encapsulés sur la chaîne de destination malgré l'absence de dépôt réel. [4][11]

Les failles de contrôle d'accès se produisent lorsque des fonctions privilégiées ne sont pas correctement protégées ou sont protégées par une clé qui a été compromise. Le communiqué du FBI a spécifiquement cité le contrôle d'accès comme une catégorie de vulnérabilité clé. [1]

Les audits aident mais ne garantissent pas la sécurité

Chaque grand protocole DeFi est audité avant son lancement. Les audits réduisent considérablement le risque mais ne peuvent pas l'éliminer, car ils sont des revues ponctuelles de code qui va interagir avec un écosystème en constante évolution. [11] Un protocole qui réussit un audit en janvier peut devenir vulnérable en juin lorsqu'un autre protocole avec lequel il interagit est mis à jour.

4. Manipulation d'oracles et attaques par prêt flash

Les smart contracts ne peuvent pas accéder à des données externes par eux-mêmes. Un protocole de prêt qui a besoin de connaître le cours actuel de l'Ether doit s'appuyer sur un flux de prix externe -- un "oracle". Manipulez le flux de prix, et vous pouvez manipuler le protocole.

L'attaque de manipulation d'oracle la plus courante implique la manipulation du prix au comptant sur un teneur de marché automatisé (AMM). Un attaquant peut temporairement fausser ce prix pour emprunter bien plus que prévu, drainer des garanties ou liquider des positions à des valuations manipulées.

Les prêts flash rendent la manipulation d'oracle considérablement plus puissante. Un prêt flash permet d'emprunter des dizaines ou des centaines de millions de dollars dans une seule transaction non collatéralisée. Si l'exploit échoue, toute la transaction est annulée et l'attaquant ne perd que le coût du gaz. [12][13]

Mango Markets a été drainé de 110 millions de dollars en octobre 2022. [5] Euler Finance a été drainé de 197 millions de dollars en mars 2023. [13]

Les attaques d'oracles en chiffres

TRM Labs a documenté que les attaques de manipulation d'oracles ont causé 52 millions de dollars de pertes lors de 37 incidents distincts en 2024 seulement. [6] La défense consiste à utiliser des oracles de prix moyen pondéré dans le temps (TWAP). Mais les oracles TWAP introduisent une latence et peuvent être manipulés sur des paires à faible liquidité. Aucune conception d'oracle n'élimine totalement le risque.

5. Compromission de clés privées et de clés d'administration

De nombreux protocoles DeFi disposent de clés de mise à niveau, de clés de pause ou de clés de trésorerie détenues par un petit nombre de personnes. Quand ces clés sont compromises, l'attaquant obtient le contrôle effectif du protocole.

Chainalysis a rapporté que la compromission de clés privées était responsable de 43,8% de toutes les cryptomonnaies volées en valeur en 2024. [2] Le rapport 2026 de TRM Labs: les attaques d'infrastructure représentaient 76% de la valeur totale des cryptomonnaies volées en 2025. [6]

Le piratage du bridge Ronin: cinq des neuf clés privées de validateurs ont été volées par hameçonnage ciblé contre des employés de Sky Mavis. Les attaquants (Lazarus Group) ont passé des mois à établir de fausses relations d'offres d'emploi avant de livrer des documents piégés contenant des maliciels. [3][6]

Le piratage de Bybit en février 2025: environ 1,5 milliard de dollars ont été volés dans l'infrastructure de signature du portefeuille froid de Bybit. L'attaque a impliqué la compromission de l'interface multisig Safe, l'injection d'une transaction malveillante qui semblait légitime mais redirigé les fonds vers des adresses contrôlées par l'attaquant. [3]

La Corée du Nord comme acteur menaçant systématique

Le rapport 2026 de Chainalysis a noté que les groupes liés à la Corée du Nord ont volé environ 1,34 milliard de dollars en 2024 lors de 47 incidents. [3] Le rapport 2024 de Chainalysis sur le blanchiment d'argent a documenté comment les fonds nord-coréens circulent à travers plusieurs couches d'obfuscation. [16]

6. Attaques du front-end et détournement de domaine

Les smart contracts d'un protocole DeFi peuvent être parfaitement sécurisés on-chain, et pourtant les utilisateurs peuvent toujours perdre des fonds par une attaque qui ne touche jamais le code du contrat.

BadgerDAO a subi une compromission du front-end de 120 millions de dollars en novembre 2021. Un attaquant a obtenu une clé API pour Cloudflare, injecté un script malveillant dans le JavaScript du front-end qui interceptait les transactions d'approbation de tokens et ajoutait une approbation illimitée pour une adresse contrôlée par l'attaquant. [1][9]

Détournement de domaine: en 2022, le DNS du front-end de Curve Finance a été détourné. Les utilisateurs qui visitaient le site et approuvaient des transactions envoyaient des fonds à un attaquant. [9]

Défenses pratiques contre les attaques du front-end

Utilisez des signets de navigateur -- jamais les résultats d'un moteur de recherche. Avant de signer toute approbation, vérifiez l'adresse du contrat. Utilisez un outil de simulation de transactions tel que Tenderly, Fire ou le simulateur de Rabby Wallet. Les portefeuilles matériels affichent les données complètes des transactions -- lisez-les toujours. Révoquez régulièrement les approbations sur revoke.cash. [1]

7. Comment réduire votre exposition avant qu'un exploit ne survienne

Le risque DeFi ne peut pas être éliminé, mais il peut être activement géré.

Recherchez l'historique des audits avant de déposer. Les auditeurs crédibles incluent Certik, Halborn, OpenZeppelin, Trail of Bits, Peckshield et Consensys Diligence. [12]

N'accordez jamais d'approbations de tokens illimitées. Après chaque transaction, révoquez l'approbation sur revoke.cash. Le communiqué du FBI recommandait explicitement de limiter les approbations. [1]

Utilisez un portefeuille matériel pour les détentions importantes. Même si votre ordinateur est compromis par un maliciel, un portefeuille matériel affichera les détails complets de la transaction avant de demander votre approbation physique. [8]

Minimisez l'exposition aux bridges. Lorsque vous devez bridger, utilisez des bridges audités avec des ensembles de validateurs décentralisés et des timelocks. [11]

Soyez sceptique face aux rendements anormalement élevés. Les attaques de manipulation d'oracles sont plus efficaces contre les protocoles à faible liquidité. [5][12]

Renseignez-vous sur la structure de gouvernance. Vérifiez si les clés d'administration sont protégées par un multisig avec un nombre significatif de signataires et des timelocks sur les mises à niveau des contrats. Les directives 2024 du GAFI ont noté que la transparence de la gouvernance est un indicateur de risque clé. [8]

Envisagez une assurance DeFi. Des protocoles comme Nexus Mutual et InsurAce offrent une couverture pour les smart contracts. La couverture ne s'applique généralement pas aux attaques du front-end ni à la compromission de clés privées. [8]

8. Que faire immédiatement après qu'un protocole DeFi que vous utilisiez est exploité

Les exploits de protocoles se déroulent rapidement. La fenêtre entre le moment où un attaquant commence à drainer des fonds et celui où l'équipe du protocole peut mettre les contrats en pause est souvent mesurée en minutes.

Etape 1: Révoquer immédiatement toutes les approbations de tokens

Rendez-vous sur revoke.cash ou l'interface d'approbation de tokens d'Etherscan et révoquez chaque approbation active liée au protocole affecté. [1]

Etape 2: Déplacer les actifs restants vers un stockage à froid

Transférez tous les actifs qui n'ont pas encore été drainés vers un portefeuille matériel qui n'a jamais interagi avec le protocole exploité. [3]

Etape 3: Documenter tout immédiatement

Rassemblez chaque hash de transaction, adresses de contrats, adresses de portefeuilles, montants en dollars au moment de la perte et captures d'écran. Le rapport 2023 sur la fraude aux cryptomonnaies du FBI souligne que la documentation précoce améliore considérablement les perspectives de récupération. [7]

Etape 4: Déposer un rapport auprès des forces de l'ordre

Soumettez une plainte au Centre de plaintes pour les crimes sur Internet du FBI sur ic3.gov. Si vous êtes en dehors des États-Unis, déposez une plainte auprès de votre autorité nationale de lutte contre la cybercriminalité. Les États membres du GAFI sont tenus d'avoir des mécanismes de plainte pour les fraudes aux actifs virtuels. [7][8]

Etape 5: Notifier les exchanges centralisés

Contactez les exchanges où les adresses de l'attaquant pourraient avoir déposé des fonds. Fournissez les hashes de transactions montrant le flux des fonds volés. [7]

Etape 6: Faire appel à la criminalistique blockchain si les pertes sont significatives

Pour des pertes supérieures à environ 50 000 dollars, faire appel rapidement à une entreprise de criminalistique blockchain est déterminant. Les fonds volés sont activement blanchis en l'espace de quelques heures. [3][16]

Etape 7: Suivre la réponse officielle du protocole

De nombreux grands exploits DeFi ont abouti à une récupération partielle grâce à des négociations avec des white-hats, des paiements du fonds d'assurance ou des compensations approuvées par la gouvernance. [7][8]

Attentes réalistes en matière de récupération

La récupération n'est pas impossible. Les données 2026 de Chainalysis montrent que les saisies par les forces de l'ordre et les restitutions volontaires ont toutes deux augmenté. [3] Le rapport 2023 sur la fraude aux cryptomonnaies du FBI a documenté 5,6 milliards de dollars de pertes liées à la fraude crypto signalées à l'IC3 en 2023. [7]

Points clés

Attaques sur les bridges: principale source de pertes DeFi. Le T2 2026 a vu 351 millions de dollars volés via des exploits de bridges inter-chaînes.

Compromission de clés privées: 43,8% de toutes les cryptomonnaies volées en valeur en 2024, 76% en 2025. Renseignez-vous sur la gouvernance avant de déposer.

Les bugs de smart contracts persistent malgré les audits. Cherchez plusieurs audits, des bug bounties et un historique sous charge.

La manipulation d'oracles et les prêts flash permettent aux attaquants d'emprunter des millions sans risque.

Les attaques du front-end drainent des fonds sans toucher au code du contrat. Utilisez des portefeuilles matériels, vérifiez les adresses de contrats, révoquez les approbations.

Si vous êtes touché: révoquez les approbations, transférez vers un stockage à froid, documentez, déposez une plainte à l'IC3, notifiez les exchanges, faites appel à la criminalistique.

Références

  1. [1]FBI PSA: Les cybercriminels exploitent de plus en plus les vulnérabilités des plateformes DeFi (2022). ic3.gov/PSA/2022/PSA220829
  2. [2]Chainalysis: 2,2 milliards de dollars volés sur les plateformes crypto en 2024. chainalysis.com/blog/crypto-hacking-stolen-funds-2025/
  3. [3]Chainalysis: La Corée du Nord propulse une année record de vol crypto à 2 milliards (2026). chainalysis.com/blog/crypto-hacking-stolen-funds-2026/
  4. [4]Chainalysis: Les hackers volent plus de cryptomonnaies dans DeFi que jamais (2022). chainalysis.com/blog/2022-defi-hacks/
  5. [5]Chainalysis: Les attaques de manipulation d'oracles sont en hausse (2023). chainalysis.com/blog/oracle-manipulation-attacks-rising/
  6. [6]TRM Labs: Rapport sur la criminalité crypto 2026. trmlabs.com/reports-and-whitepapers/2026-crypto-crime-report
  7. [7]FBI IC3: Rapport sur la fraude aux cryptomonnaies 2023 (2024). ic3.gov/annualreport/reports/2023_ic3cryptocurrencyreport.pdf
  8. [8]FATF: Mise à jour ciblée sur les actifs virtuels et les VASPs 2024. fatf-gafi.org/en/publications/Fatfrecommendations/targeted-update-virtual-assets-vasps-2024.html
  9. [9]SecurityWeek: Le FBI avertit d'une recrudescence des attaques ciblant les plateformes DeFi (2022). securityweek.com/fbi-warns-surge-attacks-targeting-defi-platforms/
  10. [10]The Defiant: Le Q2 2026 est le trimestre le plus hackué -- 70 exploits DeFi pour 746M (2026). thedefiant.io/news/hacks/q2-2026-most-hacked-quarter-defi-70-exploits-746m
  11. [11]Certik: Les attaques sur les bridges inter-chaînes expliquées (2023). certik.com/blog/cross-chain-bridge-attacks-explained
  12. [12]Halborn: Que sont les attaques de manipulation d'oracles de prix dans DeFi (2023). halborn.com/blog/post/what-are-price-oracle-manipulation-attacks-in-defi
  13. [13]Chainalysis: L'attaque par prêt flash d'Euler Finance (2023). chainalysis.com/blog/euler-finance-flash-loan-attack/
  14. [14]TRM Labs: Rapport sur la criminalité crypto 2025. trmlabs.com/reports-and-whitepapers/2025-crypto-crime-report
  15. [15]Cryptobriefing: Le Q2 2026 enregistre 70 piratages crypto pour 746M de pertes (2026). cryptobriefing.com/q2-2026-sees-record-70-crypto-hacks-totaling-746m-in-losses/
  16. [16]Chainalysis: Blanchiment d'argent crypto 2024 (2025). chainalysis.com/blog/2024-crypto-money-laundering/

Avez-vous été touché par un exploit DeFi ou un vol de cryptomonnaies?

Recoveris est spécialisé dans la criminalistique blockchain et la récupération d'actifs numériques. Notre équipe cartographie les flux de fonds on-chain, compile les preuves pour les autorités et coordonne avec les exchanges pour geler les fonds volés.

Une intervention rapide est essentielle: les fenêtres de traçage se ferment vite au fur et à mesure que les fonds sont blanchis.

Demander une consultation

Vous ne savez pas si votre cas est récupérable?

Réalisez notre évaluation de 2 minutes pour comprendre vos options

Évaluation gratuite Sans engagement Résultats en 2 minutes
Commencer l'évaluation gratuite

Questions fréquentes

Les fonds DeFi volés peuvent-ils être récupérés?

La récupération est possible mais dépend fortement du type d'exploit, de la rapidité d'action et de la capacité des enquêteurs à retracer les fonds avant qu'ils ne soient blanchis via des mixeurs ou retirés sur des exchanges sans KYC. De grands exploits de protocoles ont connu des récupérations partielles grâce à la négociation white-hat (Euler Finance a restitué environ 177 millions de dollars), des saisies judiciaires (Ronin: 30 millions saisis par les autorités américaines) et des fonds de compensation de protocoles. Le signalement précoce et l'engagement forensique sont les variables les plus importantes dans le contrôle de la victime.

Quelle est la méthode la plus courante pour pirater les protocoles DeFi?

La compromission de clés privées est désormais le principal vecteur d'attaque par valeur, représentant 43,8% de toutes les cryptomonnaies volées en 2024 (Chainalysis) et 76% de la valeur volée en 2025 (TRM Labs). Les attaques sur les bridges inter-chaînes sont les plus dommageables par taille d'incident individuel. Les bugs dans les smart contracts, la manipulation d'oracles et le détournement du front-end sont également des vecteurs significatifs et continus.

Qu'est-ce qu'une attaque par prêt flash?

Une attaque par prêt flash emprunte une grande somme de cryptomonnaies sans garantie dans une seule transaction atomique, utilise ce capital pour manipuler les conditions du marché ou exploiter une vulnérabilité de protocole, extrait un profit, et rembourse le prêt dans la même transaction. Si une étape échoue, toute la transaction est annulée et l'attaquant ne perd que le coût du gaz. Le hack d'Euler Finance en mars 2023, qui a drainé 197 millions de dollars, est l'un des plus grands exemples documentés.

Comment savoir si un protocole DeFi que j'utilise a été compromis?

Suivez les comptes officiels du protocole sur plusieurs canaux (Discord, Telegram). Des outils de surveillance on-chain comme le tracker TVL de DeFiLlama (les chutes soudaines de TVL sont un signal) et rekt.news publient des alertes d'exploits rapidement. Pour les protocoles que vous utilisez régulièrement, envisagez de configurer des alertes de solde de tokens via des outils comme Webacy ou le service de notifications d'Etherscan.

Guides connexes

Sécurité

Audit de la surface d'attaque de votre portefeuille crypto: guide pas à pas pour sécuriser votre empreinte on-chain

Guide de récupération

Que faire si votre portefeuille crypto est vidé: étapes immédiates, contrôle des dégâts et options de récupération

Guide de récupération

Comment signaler un vol de cryptomonnaies: FBI, Interpol et guide de dépôt par juridiction