Plus de 3,1 milliards de dollars en cryptomonnaies ont été perdus au cours du premier semestre 2025, selon un rapport de la société d’audit blockchain Hacken. Ces pertes proviennent notamment de failles dans le contrôle des accès, de bugs dans les smart contracts, d’arnaques et de rug pulls.

Ce montant dépasse déjà le total annuel de 2024, qui s’élevait à 2,85 milliards de dollars. Bien que le piratage de 1,5 milliard de dollars subi par Bybit en février constitue un cas exceptionnel, l’ensemble du secteur crypto reste confronté à des problèmes de sécurité persistants.

La répartition des pertes reste globalement similaire à celle observée en 2024. Les attaques liées au contrôle des accès demeurent la principale cause, représentant environ 59 % des pertes. Les failles dans les smart contracts ont causé environ 8 % des pertes, soit 263 millions de dollars volés.

Types d’attaques crypto et pertes totales au premier semestre 2025
Source : Rapport semestriel 2025 sur la sécurité Web3 – Hacken

Yehor Rudytsia, responsable des enquêtes numériques et de la réponse aux incidents chez Hacken, a déclaré à Cointelegraph que l’équipe avait observé une exploitation massive de GMX v1, dont l’ancien code obsolète a commencé à être visé dès le troisième trimestre 2025.

« Les projets doivent prendre soin de leur ancien code, surtout s’il continue de fonctionner et n’a pas été désactivé », a-t-il souligné.

À mesure que l’écosystème crypto gagne en maturité, les attaquants délaissent les failles cryptographiques pour cibler des vulnérabilités humaines et organisationnelles. Leurs méthodes se perfectionnent, avec des techniques comme les attaques par signature aveugle, les fuites de clés privées ou encore les campagnes de phishing sophistiquées.

Cette évolution met en lumière une vulnérabilité majeure : le contrôle des accès dans l’univers crypto reste l’un des domaines les plus sous-développés et les plus risqués, en dépit des progrès réalisés sur le plan technique.

La DeFi et les smart contracts révèlent des vulnérabilités critiques

Des failles de sécurité opérationnelle ont causé la majorité des pertes, avec 1,83 milliard de dollars volés sur les plateformes de finance décentralisée (DeFi) et centralisée (CeFi) réunies. L’incident le plus marquant du deuxième trimestre reste le piratage de Cetus, au cours duquel 223 millions de dollars ont été siphonnés en seulement 15 minutes. Ce hack a marqué le pire trimestre pour la DeFi depuis début 2023, interrompant une tendance baissière de cinq trimestres consécutifs en matière de pertes liées aux attaques.

Pertes trimestrielles en DeFi. Source : Rapport semestriel 2025 sur la sécurité Web3 – Hacken

Auparavant, les quatrième trimestre 2024 et premier trimestre 2025 avaient été dominés par des défaillances de contrôle des accès, reléguant au second plan la plupart des failles liées aux bugs. Toutefois, ce trimestre, les pertes liées au contrôle des accès en DeFi sont tombées à seulement 14 millions de dollars — leur plus bas niveau depuis le deuxième trimestre 2024 — alors que les attaques sur les smart contracts ont nettement augmenté.

L’attaque contre Cetus a exploité une faille dans la vérification de dépassement lors du calcul de liquidité. Le pirate a eu recours à un prêt flash pour ouvrir de petites positions, avant de cibler successivement 264 pools. D’après Hacken, un système de surveillance en temps réel de la TVL, associé à un mécanisme d’auto-suspension, aurait permis d’éviter jusqu’à 90 % des pertes.

L’intelligence artificielle représente une menace croissante pour la sécurité crypto

L’intelligence artificielle et les grands modèles de langage (LLMs) sont désormais étroitement intégrés aux écosystèmes Web2 et Web3. Si cette intégration favorise l’innovation, elle élargit aussi la surface d’attaque, en introduisant de nouvelles menaces de sécurité en constante évolution.

Les attaques liées à l’IA ont bondi de 1 025 % par rapport à 2023, et 98,9 % d’entre elles sont liées à des API non sécurisées. Par ailleurs, cinq nouvelles failles critiques (CVEs) associées à l’IA ont été recensées, et 34 % des projets Web3 utilisent aujourd’hui des agents IA en production, ce qui en fait une cible de plus en plus attractive pour les attaquants.

Les cadres de cybersécurité traditionnels — comme l’ISO/IEC 27001 ou le NIST Cybersecurity Framework — ne sont pas encore adaptés aux risques propres à l’IA, tels que les hallucinations des modèles, les injections de requêtes ou les attaques par empoisonnement des données. Selon Hacken, ces normes doivent évoluer pour intégrer les menaces spécifiques à l’IA qui pèsent désormais sur le Web3.