Le T2 2026 devient le trimestre le plus piraté de la crypto avec plus de 80 exploits

Le deuxième trimestre 2026 sera retenu comme le pire trimestre jamais enregistré en matière de failles de sécurité crypto, surpassant toute autre période de trois mois, selon les données de DeFiLlama. Au 22 juin, environ 83 incidents ont été répertoriés, soit le double du précédent record en termes de fréquence d'attaques.

Cependant, le montant des pertes reste inférieur aux pires pertes de l'industrie. La valeur totale piratée est estimée à environ 775 millions de dollars pour le T2 ; bien qu'élevée, elle ne représente qu'une fraction des sommets atteints lors de certains trimestres des années précédentes.

La plateforme d'intelligence de marché crypto Unfolded a décrit le type d'exploits qui ont alimenté en permanence les mauvaises nouvelles au cours du trimestre, écrivant sur X : « Plutôt que quelques exploits gigantesques, c'est un flux constant de petites attaques. » 

Le quatrième trimestre 2020 détient toujours le record de pertes en dollars avec 3,56 milliards de dollars.

Quels exploits ont causé le plus de dommages au T2 ? 

La faille de KelpDAO à 293 millions de dollars et l'exploit du Drift Protocol à 280 millions de dollars ont ensemble représenté plus des trois quarts du total des fonds volés au T2. 

Les deux incidents se sont produits en avril, que CertiK a confirmé comme un mois record avec environ 651 millions de dollars de pertes totales pour l'industrie réparties sur 28 à 30 attaques distinctes.

Les vulnérabilités des bridges cross-chain ont été responsables des attaques les plus coûteuses. Les exploits liés aux bridges ont représenté environ 351 millions de dollars de pertes au T2. 

La faille du bridge LayerZero OFT à l'origine de l'incident KelpDAO à elle seule a représenté plus de 38 % de l'ensemble des fonds volés durant le trimestre.

Les identifiants d'administrateur compromis et la manipulation artificielle du prix des tokens ont constitué 37 % supplémentaires des pertes. Le vol de clés privées a représenté environ 5,7 %.

Quelle a été la fréquence des attaques contre les projets crypto mois par mois ?

Les rapports mensuels de CertiK indiquent que 58 incidents se sont produits en avril, 60 en mai et 25 en juin jusqu'à présent, avec plus d'une semaine restante, selon le tracker de DefiLlama. 

Les pertes en dollars de mai se sont révélées bien inférieures, à 68,3 millions de dollars pour ces 60 incidents, selon CertiK, ce qui renforce le schéma d'attaques fréquentes mais de moindre ampleur.

Juin a déjà produit plusieurs exploits notables, dont la faille du Humanity Protocol, qui a perdu 32 millions de dollars suite à une compromission de clé privée le 8 juin. Les smart contracts abandonnés d'Aztec Connect ont été exploités deux fois en l'espace d'une semaine, le premier incident étant une faille de 2,19 millions de dollars le 14 juin, suivie d'un drain séparé de 2 millions de dollars le 17 juin, comme l'a documenté Cryptopolitan. 

Taiko a confirmé le 22 juin que des attaquants avaient exploité son mécanisme de vérification de bridge pour 1,7 million de dollars, PeckShield estimant la perte, et Lookonchain suivant 1,99 million de tokens TAIKO déplacés vers MEXC.

L'exchange décentralisé Raydium a perdu 1,34 million de dollars lors d'une attaque de fausse frappe de LP le 10 juin.

Les contrats dépréciés sont désormais une cible croissante pour les hackers

Les smart contracts abandonnés par les équipes de développement font à nouveau la une des actualités, mais pour de mauvaises raisons, les attaquants semblant avoir concentré leur attention sur eux.

Les incidents Aztec consécutifs ont touché des produits qui avaient été dépréciés en 2022 et 2023, avec des contrôles administratifs renoncés on-chain, ne laissant aucun mécanisme pour des correctifs d'urgence, selon Aztec Labs.

Une autre attaque impliquant des contrats dépréciés a vu 2,1 millions de dollars quitter un coffre-fort legacy lié à Thetanuts Finance le 15 juin. 

Le chercheur en sécurité Blockful.eth a signalé ce schéma émergent sur X, notant que plusieurs exploits avaient touché « d'anciens contrats avec des millions de dollars dormant à l'intérieur. » 

Que signifie cette tendance pour le reste de 2026 ?

Les pertes cumulées en 2026, de janvier à fin mai, ont atteint environ 1,3 milliard de dollars, selon CertiK. Les incidents de juin s'ajoutent à ce total, le trimestre n'étant pas encore terminé.

La dernière tendance des attaques à faible valeur en dollars marque un changement par rapport aux années précédentes, où un seul exploit de bridge ou une faille d'exchange pouvait représenter des milliards. 

Les attaques fréquentes ciblent désormais les accès administrateurs, l'infrastructure des bridges et le code abandonné, contrairement à ce qui était autrefois un événement catastrophique occasionnel.

Cependant, les capacités de réponse se sont améliorées, l'incident KelpDAO d'avril en étant un exemple notable. L'Arbitrum Security Council a gelé 71 millions de dollars des fonds de l'attaquant KelpDAO en utilisant ses pouvoirs d'urgence, comme l'a rapporté Cryptopolitan.

Ne vous contentez pas de lire les actualités crypto. Comprenez-les. Abonnez-vous à notre newsletter. C'est gratuit.