Les piratages DeFi ont causé plus de 840 millions de dollars de pertes en 2026 jusqu'à présent

C'est l'une des pires années de l'histoire.Finance décentralisée piratages, et nous n'en sommes qu'à mi-chemin.

Au cours des cinq premiers mois de 2026, les attaques de hackers DeFi ont causé une perte de plus de 840 millions de dollars — plus de 600 millions de dollars ont été volés en avril uniquement, dont deux des plus grandes attaques de l'année : l'exploitation de la vulnérabilité de KelpDAO, entraînant une perte de 292 millions de dollars et la vulnérabilité du protocole Drift pour 285 millions de dollars.

Les pertes se sont poursuivies jusqu'en mai. 雷神链 des chercheurs en sécurité ont découvert une vulnérabilité interchaîne suspecte, affectant un montant supérieur à 10 millions de dollars, après quoi les transactions ont été suspendues.

Trusted Volume,Echo Protocol,Step Finance,Truebit,Resolv Labs,Wolo Protocol,Rhea Finance,Verus-Ethereum Bridge et de nombreuses autres entreprises ont également rejoint ce désastre, cette liste ressemblant à un test de pression sur chaque hypothèse de confiance sur laquelle repose DeFi.DeFiLlama Data.

Les experts déchiffrent : les participants sont unanimes pour dire que les récents incidents de piratage DeFi révèlent des défauts structurels dans le domaine DeFi. Les ponts et les systèmes de gestion, tandis que les progrès de l'intelligence artificielle pourraient aider les attaquants à identifier plus rapidement les vulnérabilités.

Natalie Newson, enquêtrice blockchain senior sur la plateforme de sécurité Web3 CertiK, a déclaré à Decrypt que bien que les attaques cryptographiques en avril aient été particulièrement graves, la tendance générale reste stable et inférieure au nombre maximal d'événements en 2023.

« Avril 2026 a été un mois marqué par de nombreuses attaques par vulnérabilités dans le domaine des cryptomonnaies ; seulement trois jours se sont passés sans attaque, et au moins 10 000 dollars ont été volés chaque jour », a-t-elle déclaré.

« Cependant, d’un point de vue plus large, le nombre d’événements (hors phishing) peut être considéré comme relativement stable et reste inférieur au pic de 2023 », a noté Newsom, ajoutant que la gravité d’avril était due à 14 attaques ayant entraîné des pertes dépassant 1 million de dollars, derrière les 16 enregistrées en septembre 2025.

Ari Redbord, directeur mondial des politiques et des affaires gouvernementales chez TRM Labs, a déclaré à Decrypt que cet [accroissement] peut être remonté à un acteur étatique qui est passé, en cinq ans, d'un rôle marginal à une menace déterminante.

Redbird a déclaré : « La Corée du Nord est le moteur principal, et cette campagne devient de plus en plus ciblée, et non de plus en plus large. » Il a également souligné que des acteurs liés à la Corée du Nord participent également à cette campagne. Enregistré 76 % des pertes causées par des cyberattaques sur les cryptomonnaies au niveau mondial au cours des quatre premiers mois de 2026 se produiront ici, contre 64 % en 2025 et moins de 10 % en 2020.

Il a déclaré : « La Corée du Nord utilise non seulement des attaques technologiques contre l'espace, mais aussi des méthodes d'ingénierie sociale complexes et soigneusement planifiées. »

La plus grande attaque de piratage DeFi de cette année a eu lieu le 18 avril, lorsque les attaquants ont volé environ 116 500 rsETH d’un pont cross-chain, pour une valeur d’environ 292 millions de dollars américains.

LayerZero est le fournisseur d'infrastructure de messagerie sous-jacente à ce protocole de pont, et l'entreprise a déclaré dans son dernier communiqué que... 尸检报告 l'attaque a commencé le 6 mars, lorsqu'un développeur a été victime d'une attaque d'ingénierie sociale et que sa clé de session a été volée.

Nous partagerons le rapport d'enquête sur l'événement du 18 avril, préparé par @Mandiant et @CrowdStrike. Nous publierons l'executive summary et le rapport complet via le lien suivant.

Au cours des quatre dernières semaines, nous avons collaboré avec des centaines de partenaires pour les aider… pic.twitter.com/yVZdqjLTeT

— LayerZero (@LayerZero_Core)2026年5月20日

Le protocole de transmission de messages interchaînes affirme que Mandiant, CrowdStrike et des chercheurs indépendants attribuent cette attaque à l'acteur menaçant nord-coréen TraderTraitor, également connu sous le nom UNC4899.

Redbord a ajouté que les raisons structurelles pour lesquelles le DeFi subit continuellement des chocs résident fondamentalement dans l'endroit où les fonds sont déposés et la manière dont ils circulent.

Il a déclaré : « La complexité interchaînes du DeFi en fait un environnement rempli de cibles d'attaque — les ponts sont toujours responsables des pertes les plus importantes lors d'événements uniques, et les modes de défaillance se répètent avec une étonnante constance, car le problème fondamental est architectural. »

Raz Niv, cofondateur et directeur technique de la plateforme de sécurité chainée Blockaid, a déclaré à Decrypted que, lors des plus grandes incidents de cette année, trois modèles technologiques se sont répétés : des défaillances de contrôle d'accès privilégié, des mises à niveau malveillantes de proxy (où les attaquants remplacent le contrat par une version contenant une porte dérobée) et des vulnérabilités de vérification des messages cross-chain.

Concernant l'accès privilégié, Niv a déclaré que l'entreprise surveille les « événements anormaux de attribution de rôles et les élévations de privilèges non autorisées », telles que l'événement suivant : Exploitation de la vulnérabilité d'Echo Protocol, remontant à une fuite de clé d'administrateur ou une erreur de configuration.

« L'attaquant a soit obtenu la clé privée par ingénierie sociale, soit exploité un seuil de signature multiple mal conçu », a-t-il ajouté.

Il a souligné les défaillances dans les domaines du contrôle d'accès privilégié, de la mise à niveau malveillante des agents et du système de vérification interchaînes, et a déclaré que les récentes attaques ont révélé des faiblesses plus profondes dans les hypothèses reliant une infrastructure de plus en plus complexe.

Niv déclare : « Le point commun ne réside pas dans la complexité en soi, mais dans le fait que chaque couche d'abstraction (agent, rôle d'administrateur, transmission de messages interchaînes) introduit des hypothèses de confiance que les attaquants exploiteront systématiquement. »

Niv a déclaré que l'intelligence artificielle transforme de plus en plus la découverte de vulnérabilités, mais il a également mis en garde contre le fait que l'impact de l'intelligence artificielle est souvent mal compris.

Il a déclaré que les modèles actuels deviennent de plus en plus efficaces pour identifier à grande échelle les vulnérabilités connues et « automatisent le travail des auditeurs qualifiés », tout en avertissant que « la vraie préoccupation n'est pas que l'intelligence artificielle remplace les attaquants humains », mais qu'elle « renforce les capacités des attaquants » en traitant les tâches de reconnaissance, leur permettant de se concentrer sur des techniques plus complexes.

« La bonne nouvelle est que les défenseurs peuvent utiliser les mêmes outils. La surveillance et la simulation assistées par l'IA deviennent essentielles pour les équipes de sécurité qui cherchent à rester à jour », ajoute Niv.

Newsom pointed out that the surge in DeFi hacking attacks has shown a similar trend, saying: "Advancements in artificial intelligence may be one factor contributing to this phenomenon, although it is not the only one."

Elle a ajouté que CertiK a constaté une augmentation des exploitations de contrats anciens et non vérifiés, ce qui conduit « logiquement à penser que l'intelligence artificielle aide à identifier les vulnérabilités ».

De même, Redbord a déclaré que « les acteurs malveillants déployent massivement l'intelligence artificielle » pour la reconnaissance, l'ingénierie sociale et la conception d'exploitations, et a ajouté que la complexité démontrée par des attaques comme Drift semble « cohérente avec des flux de travail assistés par l'intelligence artificielle ».

Les analystes de TRM estiment que les opérateurs nord-coréens intègrent de plus en plus des outils d'intelligence artificielle dans leurs opérations, affirmant que « la solution consiste à déployer l'intelligence artificielle dans la défense avec la même agressivité que l'adversaire le fait dans l'attaque. »

Redbord a déclaré que les attaques de piratage DeFi sont « un problème pouvant être résolu », mais il a également indiqué que le secteur doit être plus franc sur l'endroit exact où les pannes se produisent.

Il a souligné que « les audits peuvent prévenir les failles de code », mais ne peuvent pas prévenir des attaques d'ingénierie sociale complexes comme celle de Drift, à laquelle des agents nord-coréens auraient participé, selon les rapports. Passer des mois à obtenir un accès avant la violation.

L'expert a ajouté : « Le modèle efficace est la collaboration publique-privée en temps réel. »

Newsom a déclaré que 2026 pourrait représenter « un point de bascule évolutif », soulignant que l'industrie reconnaît la cybersécurité comme un « problème full-stack » couvrant « l'intelligence artificielle, la République populaire démocratique de Corée, ou les infrastructures et le personnel ».

“If your off-chain manual processes have vulnerabilities, no matter how perfect the on-chain mathematics, it won’t help,” she said, noting that the industry is increasingly shifting toward “practical structural solutions” to address infrastructure and social engineering risks.

Le degré de perte de confiance dans le domaine DeFi est difficile à quantifier, mais facile à observer.

La vulnérabilité de Kelp DAO a provoqué un retrait de fonds de 6,2 milliards de dollars. Avi a agi seul avant l'opération de sauvetage dirigée par Stani Kulechov, PDG d'Aave, appelée « DeFi United », qui a rassemblé environ 303 millions de dollars en 132 650 ETH pour garantir les créances douteuses.

Cette réponse coordonnée montre que le secteur est capable de s'organiser. Elle révèle également le montant d'argent nécessaire pour dissimuler un vol de pont.

Newsom stated that the consequences depend entirely on who will be affected.

« Les professionnels expérimentés pourraient considérer les six dernières semaines comme allant de soi — simplement une norme du prochain stade de développement et une expérience douloureuse dont il faut tirer des leçons », a-t-elle déclaré.

She noted that repeated attacks affect new market participants very differently, warning that for users who have lost large sums of money, the consequences are not a “learning experience,” but rather raise “existential questions” about the long-term “viability and security” of cryptocurrency, and technical fixes often come too late to recover losses.