Préoccupations croissantes sur la sécurité des cryptomonnaies
Les préoccupations concernant la sécurité des cryptomonnaies se sont intensifiées après que Manuel Aráoz, co-fondateur d’OpenZeppelin, a conseillé à ses amis et à sa famille de se retirer de toutes les positions en finance décentralisée (DeFi), y compris celles exposées à des protocoles de prêt majeurs. Dans un post publié mardi sur X, Aráoz a déclaré qu’il ne considère plus « toute la DeFi » comme sûre, arguant que l’équilibre entre les attaquants et les défenseurs a trop penché en faveur des hackers.
Avis d’Aráoz sur la DeFi
« PSA : Je considère désormais toute la DeFi comme insécurisée. Les hackers sont devenus surhumains pour trouver des vulnérabilités, et la sécurité des contrats intelligents est trop asymétrique : les défenseurs doivent corriger chaque bug, tandis que les attaquants n’ont besoin que d’une seule faille pour voler des fonds, » a-t-il déclaré.
En décrivant l’état actuel de la sécurité des contrats intelligents, Aráoz a souligné que les hackers avaient développé des compétences exceptionnelles pour identifier les failles, tandis que les développeurs se retrouvaient piégés dans un système où « les défenseurs doivent corriger chaque bug, tandis que les attaquants n’ont besoin que d’une seule faille pour voler des fonds. »
« J’ai conseillé en privé à mes amis et à ma famille de quitter toutes les positions DeFi, y compris les ‘blue chips’ à faible risque comme Aave, MakerDAO et Compound, » a-t-il ajouté.
Incidents récents dans l’industrie DeFi
Les commentaires d’Aráoz interviennent alors que l’industrie de la cryptomonnaie fait face à l’une des périodes les plus dommageables en matière d’exploits DeFi depuis le piratage de 1,5 milliard de dollars de Bybit en février 2025. Selon les données de DefiLlama, environ 629,7 millions de dollars ont été volés des protocoles DeFi rien qu’en avril, faisant de ce mois le pire en matière de piratages liés aux cryptomonnaies depuis plus d’un an.
Deux attaques ont représenté la majorité des pertes. Parmi les incidents les plus marquants, le Drift Protocol a perdu environ 285 millions de dollars après que les attaquants ont apparemment utilisé une campagne d’ingénierie sociale qui a duré six mois. Kelp DAO a subi un autre exploit de 293 millions de dollars lié à des vulnérabilités dans son infrastructure de pont inter-chaînes. Les chercheurs en sécurité et les enquêteurs blockchain ont largement lié ces deux attaques à des groupes de hackers soutenus par l’État nord-coréen.
DefiLlama a enregistré 27 incidents d’exploit DeFi en avril. Dans le même temps, la valeur totale verrouillée dans les protocoles DeFi a chuté d’environ 14 % par rapport aux niveaux de la mi-avril, passant de près de 172 milliards de dollars à environ 148 milliards de dollars. La concentration des pertes provenait principalement de faiblesses liées aux ponts, d’échecs d’accès privilégié et d’erreurs opérationnelles, plutôt que de bugs de codage isolés.
Autres attaques notables
En dehors des deux plus grandes violations, plusieurs attaques plus petites ont continué à frapper les protocoles tout au long du mois. Comme précédemment rapporté par crypto.news, le Wasabi Protocol a perdu environ 5,5 millions de dollars sur les réseaux Ethereum, Base, Blast et Berachain lors d’un exploit actif. La plateforme de move-to-earn Sweat Economy a également signalé des pertes d’environ 3,46 millions de dollars après que les attaquants ont drainé près de 65 % de son pool de liquidités en moins de 30 secondes.
Le projet a ensuite déclaré que certains des actifs volés avaient été gelés sur MEXC pendant que les efforts de récupération se poursuivaient.
« Nous sommes heureux de confirmer que tous les soldes de comptes externes ont été entièrement restaurés et que les opérations sont de nouveau normales. Nous apprécions profondément le soutien et les conseils de la communauté qui nous ont aidés à résoudre cela rapidement. Un grand merci pour le gel rapide de… »
Pendant ce temps, sur la blockchain Sui, la plateforme de trading décentralisée Aftermath Finance a perdu près de 1,1 million de dollars en USDC sur sa plateforme de contrats perpétuels. La société de sécurité blockchain Blockaid a déclaré que l’attaquant avait effectué 11 transactions sur environ 36 minutes. Blockaid a détecté et signalé un exploit actif sur les contrats perpétuels où l’USDC a été drainé à travers 11 transactions en environ 36 minutes par l’attaquant 0x1a65086c85114c1a3f8dc74140115c6e18438d48d33a21fd112311561112d41e.
Bien que mai n’ait pas produit de pertes à l’échelle de celles observées en avril, les incidents de sécurité ont continué à se produire dans le secteur DeFi. Parmi les derniers cas, le pont Ethereum de Verus Network a été exploité pour 11,6 millions de dollars. La plateforme de marché prédictif Polymarket a également divulgué une violation de 573 200 dollars la semaine dernière, que la société a déclaré pourrait avoir impliqué une clé privée compromise liée à un portefeuille de recharge interne.
