Les white hats spécialisés dans la recherche de vulnérabilités sur les protocoles décentralisés du Web3 touchent des revenus colossaux, éclipsant le plafond salarial de 300 000 $ des postes classiques en cybersécurité.
« Notre classement montre que certains chercheurs gagnent plusieurs millions par an, contre des salaires typiques de cybersécurité compris entre 150 000 et 300 000 $ », a déclaré Mitchell Amador, cofondateur et CEO de la plateforme de bug bounty Immunefi, à Cointelegraph.
Dans le monde crypto, les “white hats” sont des hackers éthiques rémunérés pour signaler des vulnérabilités dans les protocoles de finance décentralisée (DeFi). Contrairement aux emplois salariés en entreprise, ces chercheurs choisissent leurs cibles, organisent leur temps et sont payés en fonction de l’impact de leurs découvertes.
À ce jour, Immunefi a facilité plus de 120 millions de dollars de paiements via des milliers de rapports. Trente chercheurs sont déjà devenus millionnaires.
« Nous protégeons plus de 180 milliards de dollars de valeur totale verrouillée à travers nos programmes », a ajouté Amador, précisant que la plateforme offre des primes allant jusqu’à 10 % pour les bugs critiques. « Ces paiements millionnaires reflètent le fait que de nombreux protocoles ont des dizaines, voire des centaines de millions en jeu à cause d’une seule vulnérabilité », a-t-il expliqué.
Une prime de 10 millions de dollars a évité des pertes colossales
La plus grosse prime jamais versée à un white hat du Web3 s’élève à 10 millions de dollars, attribuée à un hacker ayant découvert une faille critique sur le bridge crosschain de Wormhole. Amador a indiqué que cette vulnérabilité aurait pu faire disparaître des milliards de dollars.
Malgré cette découverte, Wormhole a subi en 2022 une attaque de 321 millions de dollars sur son bridge Solana, le plus gros hack crypto de l’année. En février 2023, les sociétés d’infrastructure Web3 Jump Crypto et Oasis.app ont mené un « contre-exploit » sur le hacker du protocole Wormhole, récupérant au total 225 millions de dollars.
Amador a précisé que les vulnérabilités critiques génèrent les plus grosses récompenses. Les chercheurs les plus performants ont empoché entre 1 et 14 millions de dollars, selon la gravité et l’ampleur de leurs découvertes. « Ce sont les hackers 100x capables de détecter des failles que d’autres manquent », a-t-il déclaré.
Alors que les premières années de la DeFi étaient marquées par des bugs dans les smart contracts, 2025 voit émerger des exploits “no-code” comme le social engineering, la compromission de clés ou des manquements à la sécurité opérationnelle. Malgré ce changement, les bridges restent les cibles les plus lucratives en raison de leur complexité crosschain et des sommes importantes qu’ils protègent.
Des tendances se dégagent concernant les types de projets les plus souvent piratés. « Les protocoles DeFi gérant une valeur importante et sans programmes de prime robustes sont les plus exposés », a indiqué Amador. Il a averti que les équipes en phase de lancement, précipitées sur le marché sans mesures de sécurité, ainsi que certains acteurs établis trop confiants, courent un risque élevé.
Les hackers crypto ont volé 163 millions de dollars en août
Comme l’a rapporté Cointelegraph, les hacks et arnaques liés à la crypto ont généré 163 millions de dollars de pertes en août, soit une hausse de 15 % par rapport aux 142 millions de juillet. Malgré cette augmentation, le nombre total d’incidents a diminué, avec seulement 16 attaques recensées contre 20 en juin.
La majorité des pertes provient de deux incidents majeurs : un scam de 91 millions de dollars par social engineering visant un détenteur de Bitcoin, et une attaque de 50 millions sur la plateforme turque Btcturk.