Le hack dont a été victime le réseau Solana en 2022 n’est qu’une énième piqûre de rappel : le secteur des cryptomonnaies reste exposé aux attaques malveillantes. Il suffit de voir le nombre d’exploitations de failles dont est régulièrement victime la DeFi, avec des montants toujours plus importants détournés au profit de groupes organisés. Ces derniers suivent les migrations successives des investisseurs et des liquidity providers pour en pomper les fonds à la première occasion. Et, selon des spécialistes de cybersécurité, la cible privilégiée pourrait être le crypto-gaming, avec une mention spéciale pour le play to earn (P2E).
Le secteur des cryptomonnaies ne peut ignorer les problèmes de sécurité qui menacent en permanence son intégrité. Avec, comme cible historique, la finance décentralisée et des dizaines de millions de dollars détournés qui finissent par représenter des milliards de dollars de pertes à la fin de l’année. Une réalité dont l’origine se résume bien souvent à une certaine légèreté des développeurs en charge des projets compromis. Comme dans le cas du réseau Solana, victime présumée de la gestion douteuse des clés privées des utilisateurs du portefeuille Slope.
Un phénomène migratoire qui se déplace avec les fonds des investisseurs. Et dont l’une des cibles devenues historiques n’est autre que la sidechain Ronin (RON) du jeu Axie Infinity (AXS, SLP). Avec une attaque dont le triste record pointe à environ 625 millions de dollars de pertes en mars 2022. Mais, selon la structure Hacken, spécialisée dans l’audit de cybersécurité version blockchain, cela ne serait que le début de quelque chose de bien pire pour le crypto-gaming. Explications.
Play to Earn – Une sécurité jugée « insatisfaisante »
Avant toute chose, il convient de préciser que Hacken prêche pour sa paroisse. Et les risques mentionnés dans son rapport permettent en partie de justifier le recours à ses services pour y remédier. Néanmoins, l’état des lieux dressé dans le domaine du crypto-gaming a de quoi inquiéter les investisseurs. En particulier si l’on considère que la tendance penche parfois plus vers la spéculation que vers la construction. Un constat que les spécialistes de Hacken résument par le fait de placer « les bénéfices avant la sécurité ». Sur ce point critique, le bilan dressé est alarmant.
« Les projets GameFi ne suivent même pas les recommandations de cybersécurité les plus essentielles, laissant aux acteurs malveillants de nombreux points d’entrée pour les attaques. »
Hacken
En effet, le secteur du crypto-gaming (ou GameFi) intègre bien souvent l’utilisation de jetons NFT. Mais également la mise en place de cryptomonnaies natives afin de permettre le bon fonctionnement interne de ses projets et de leurs écosystèmes. Avec, dans certains cas comme Axie Infinity, l’utilisation de bridges pour prétendre à des ambitions cross-chain. Autant d’éléments qui participent au caractère innovant de cette économie numérique, mais aussi une accumulation de points faibles. Car les données collectées par la structure spécialisée CER.live semblent sans équivoque : il existe de graves lacunes de cybersécurité.
GameFi – Un security-Score D
Les notes attribuées aux projets soumis à cette analyse font froid dans le dos. En effet, sur les 31 cryptomonnaies du secteur GameFi étudiées, aucune n’a reçu le meilleur classement de sécurité AAA. Et, dans le même temps, 16 d’entre elles ne pouvaient prétendre à mieux qu’un score établi à la lettre D. Cela en grande partie parce qu’aucun audit sérieux n’avait été réalisé. Ou parce qu’aucune prime de bug ne permettait de rémunérer l’identification de failles par des hackers whitehat, comme c’était le cas uniquement pour Axie Infinity et le projet Aavegotchi (GHST) du protocole Aave (AAVE). Et enfin, aucune couverture d’assurance en cas de piratage et de pertes des fonds des utilisateurs.
Autre point important, seuls 5 des projets étudiés avaient effectivement obtenu un audit de plateforme en bonne et due forme. C’est-à-dire une protection, certes toute théorique, permettant de déceler des failles de sécurité potentielles dans l’ensemble de leurs écosystèmes. Une liste dans laquelle figuraient les jeux de play to earn Aavegotchi, The Sandbox (SAND), Radio Caca (RACA), Alien Worlds (TLM) et DeFi Kingdoms (JEWEL). Ce qui représentait le ratio assez inquiétant de 1 projet sur 6 parmi ceux testés lors de cette analyse de sécurité.
Le bilan dressé par Hacken était alors simple et sans équivoque. À mesure que le secteur du crypto-gaming gagnerait en visibilité, les risques d’attaques deviendraient inévitablement plus importants et critiques. Tout particulièrement si les projets ne faisaient rien pour renforcer leur capacité à encaisser ce genre de déconvenues, plus probables que simplement hypothétiques.
Depuis 2022 – L’avertissement confirmé, le secteur sinistré
Avec le recul, l’avertissement n’avait rien d’exagéré. Le hack du bridge Ronin, attribué par le Trésor américain au groupe nord-coréen Lazarus, demeure l’un des plus gros vols de l’histoire des cryptomonnaies. Les enquêteurs ont depuis saisi une partie des fonds, mais l’essentiel a été blanchi. L’accès aux clés de validateurs, et non une faille de smart contract exotique, fut le point d’entrée, ce qui confirme l’analyse de Hacken sur les fondamentaux négligés.
Au-delà du seul GameFi, la tendance des piratages s’est confirmée. Le contrôle d’accès, c’est-à-dire la gestion des clés et des permissions, reste l’un des principaux vecteurs des vols recensés. Les attaques par rug pull et le phishing ciblant directement les joueurs complètent le tableau. La leçon vaut pour tout détenteur d’actifs : isoler ses fonds de jeu de son portefeuille principal, idéalement sur un support matériel comme un Ledger Nano X plutôt qu’un simple MetaMask connecté en permanence.
Le secteur lui-même a connu un reflux brutal. Le financement des projets de blockchain gaming s’est effondré, de l’ordre de 55 % en 2025 par rapport à l’année précédente selon plusieurs bilans. De nombreux jetons de jeux phares ont perdu plus de 90 % de leur valeur, et des studios entiers ont fermé. Le modèle play-to-earn, trop souvent calibré pour la spéculation plutôt que pour le plaisir de jeu, a montré ses limites économiques autant que ses failles techniques.
Reste que l’audit s’est imposé comme un standard, et que les meilleurs projets multiplient désormais les revues de code et les programmes de bug bounty. Pour suivre l’état du marché crypto au sens large, des outils comme la heatmap ou l’indice Fear and Greed restent utiles. Mais l’enseignement central demeure : dans un secteur où le code fait loi, négliger la sécurité revient à programmer son propre piratage. Ce n’était qu’une simple question de temps.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash