Les cybercriminels ont dérobé plus de 90 millions de dollars en cryptomonnaies rien qu’en avril, un nouveau revers pour la réputation du secteur, malgré les efforts constants pour renforcer la cybersécurité.
D’après un rapport publié le 30 avril par la société de cybersécurité blockchain Immunefi, 92 millions de dollars ont été subtilisés lors de 15 attaques au cours du mois.
Ce chiffre marque une hausse de 124 % par rapport à mars, où les pertes s’élevaient à 41 millions de dollars.
Le piratage le plus important du mois a visé UPCX, une plateforme open-source, avec plus de 70 millions de dollars dérobés. KiloEx a subi la deuxième attaque la plus lourde, avec une perte de 7,5 millions de dollars.
The KiloEx exploiter returned the stolen funds just days after the attack occurred.
L’auteur de l’attaque contre KiloEx a restitué les fonds quelques jours après l’incident.
Toutes les attaques signalées en avril ont visé des protocoles de finance décentralisée (DeFi). Les plateformes centralisées, quant à elles, n’ont rapporté aucun incident ce mois-là, selon le rapport.
Immunefi, qui affirme contribuer à la protection de 190 milliards de dollars de fonds d'utilisateurs, a versé plus de 116 millions de dollars de primes à des pirates informatiques de type « white hat ».
Les menaces soutenues par l'État suscitent l'inquiétude
Ce rapport survient près de deux mois après le piratage de l'exchange Bybit, qui a perdu plus de 1,4 milliard de dollars le 21 février — la plus grosse attaque de l’histoire des cryptomonnaies.
« L’ampleur de cette attaque montre que les acteurs soutenus par des États représentent sans doute la menace la plus sérieuse pour notre industrie », déclare Mitchell Amador, fondateur et PDG d’Immunefi.
« Cela rappelle l’importance de sécuriser l’ensemble des couches techniques, afin d’éviter des attaques catastrophiques avant même qu’elles ne surviennent », a-t-il déclaré à Cointelegraph en ajoutant :
« Les protocoles doivent être conçus pour résister aux attaques, en partant du principe que les pirates finiront par s’y introduire. Les investisseurs, eux, doivent partir du principe que même les interfaces les plus fiables ou les e-mails les plus rassurants peuvent être des pièges. »
Amador appelle à adopter une approche « zéro confiance » et à renforcer les protections à tous les niveaux de l’infrastructure technologique.
Les programmes de primes de bugs, les audits réguliers et les vérifications formelles sont désormais indispensables pour sécuriser les smart contracts et les infrastructures qui les soutiennent, conclut-il.
À la fin du mois d’avril, les pertes cumulées liées aux piratages dépassaient déjà 1,7 milliard de dollars en 2025, selon Immunefi — un chiffre supérieur aux 1,49 milliard estimés pour toute l’année 2024.
The state-backed North Korean Lazarus Group’s pause in the second half of 2024 may have been a repositioning in preparation for staging the world’s largest hack on Bybit, Eric Jardine, Chainalysis' cybercrimes research Lead, told Cointelegraph.
D’après Eric Jardine, responsable de la recherche sur la cybercriminalité chez Chainalysis, la pause observée chez le groupe nord-coréen Lazarus au second semestre 2024 pourrait avoir été une stratégie de repositionnement en vue de préparer l’attaque historique contre Bybit.