Les bridges cross-chain concentrent plus de 2,8 milliards de dollars de pertes depuis 2022, soit près de 40 % de la valeur totale piratée dans l’ensemble du Web3 selon les données DefiLlama. Face à ce bilan, une industrie parallèle s’est organisée : celle des bug bounties géants, où des protocoles comme Wormhole ou LayerZero versent des millions pour que des chercheurs en sécurité révèlent les failles avant les attaquants. Le plus grand paiement de toute l’histoire du logiciel, 10 millions de dollars, est allé à un white hat anonyme qui avait découvert un bug dans un bridge crypto en 2022.

Au programme

  • 10 M$ : le record mondial de bounty versé à un chercheur en sécurité pour une faille dans Wormhole, plus grand paiement logiciel de l’histoire (Immunefi, 2022)
  • 42 % des pertes crypto de mai 2026 imputables aux bridges, sur un total mensuel de 70 M$ (yellow.com, 2026)
  • L’économie des “rançons blanches” post-exploit : 10 % au hacker, 90 % retournés, un accord qui fonctionne rarement

Pourquoi les bridges restent-ils la cible numéro un ?

La TVL des bridges a atteint 21,94 milliards de dollars en mars 2026, et un bridge qui assure la garde d’actifs enveloppés sur 20 chaînes devient un point de défaillance unique pour tous les protocoles en aval. C’est l’ironie fondamentale de l’interopérabilité : pour relier des blockchains étanches, il faut créer un coffre central, et les coffres attirent les voleurs.

Les hacks de bridges cross-chain ont englouti plus de 2,8 milliards de dollars depuis 2022, faisant de ces infrastructures la surface d’attaque la plus dangereuse de la crypto par volume. Janvier 2026 à lui seul a enregistré près de 400 millions de dollars de vols dans l’ensemble du secteur.

Ces systèmes concentrent typiquement d’immenses quantités de valeur dans un petit nombre de contrats ou de dispositifs de garde. Ils combinent une logique on-chain avec une validation hors-chaîne ou des comités multisig, ce qui en fait des cibles fréquentes d’exploits à fort impact.

Le problème structurel ne disparaît pas avec les audits. Les bridges ont produit 2 des 3 plus grandes exploitations DeFi de 2026, et les modes de défaillance n’ont pas changé depuis 2022. Les attaquants n’exploitent pas de nouvelles vulnérabilités : ils réutilisent les mêmes failles structurelles dans la vérification de messages cross-chain et la gestion humaine des clés, à une échelle plus grande parce que la TVL continue de croître.

Top 3 hacks de bridges cross-chain (2022-2026) Classement des 3 exploits les plus coûteux sur des bridges cross-chain : Ronin Network 625M$ en 2022, Wormhole 320M$ en 2022, Kelp DAO 292M$ en avril 2026. Top 3 hacks de bridges, montant volé Ronin (2022) 625 M$ Wormhole (2022) 320 M$ Kelp DAO (2026) 292 M$ Sources : DefiLlama, The Block, 2022-2026

Comment fonctionne l’économie du bug bounty sur les bridges ?

Au 1er mars 2026, le plus grand bug bounty actif dans le Web3 est celui d’Usual avec 16 millions de dollars sur Sherlock, un record dans l’histoire de la tech. Le second est le programme Uniswap v4 à 15,5 millions de dollars sur Immunefi, suivi de LayerZero à 15 millions.

Le mécanisme est simple. Un protocole publie un programme avec des seuils de récompense indexés sur la gravité de la faille. Payer un white hat 1 million de dollars pour un bug critique coûte bien moins cher que perdre 100 millions dans un hack. Les chercheurs soumettent leurs rapports de façon confidentielle via des plateformes comme Immunefi ou HackenProof. Si la faille est confirmée, le protocole verse la prime et déploie un correctif dans la foulée.

Le record mondial de paiement individuel reste les 10 millions de dollars versés au chercheur satya0x pour une vulnérabilité critique découverte dans le protocole cross-chain Wormhole en 2022, facilitée par Immunefi. La plateforme a désormais distribué plus de 110 millions de dollars au total.

Ce cas précis illustre la logique du secteur. Le 24 février, satya0x avait révélé de façon responsable un bug critique dans le contrat du bridge Wormhole sur Ethereum, un bug d’auto-destruction dans un proxy upgradeable qui aurait pu conduire au blocage des fonds des utilisateurs. Wormhole a répondu en un temps record, en vérifiant et corrigeant le problème le jour même. Aucun fonds utilisateur n’a été perdu.

À titre de comparaison, le plafond habituel d’un bug bounty chez Google est de 31 337 dollars. Chez Microsoft, les paiements les plus élevés dépassent rarement 150 000 dollars. L’écosystème crypto verse couramment 10 à 100 fois plus que la tech traditionnelle.

La raison est simple : le marché des bug bounties Web3 dépasse désormais 162 millions de dollars en récompenses disponibles, réparties sur des centaines de programmes actifs.

Qu’est-ce qu’une “rançon blanche” post-exploit ?

Quand un hack a déjà eu lieu, une autre pratique prend le relais : la négociation directe avec le voleur. Le principe est aussi vieux que la DeFi elle-même. Le protocole victime envoie un message on-chain à l’adresse de l’attaquant. Il lui propose de conserver 10 % du butin en échange du retour des 90 % restants, avec promesse de ne pas porter plainte.

Cette pratique, demander aux hackers de retourner les fonds volés moins une prime de 10 %, en échange d’une promesse de ne pas les traquer ni d’engager de poursuites judiciaires, est une tactique de négociation courante lorsque des protocoles DeFi sont exploités.

Le bridge IoTeX l’a vécu en février 2026. Le bridge ioTube d’IoTeX a perdu 4,4 millions de dollars lors d’un exploit sur clé privée. Le projet a proposé au hacker une prime de 10 % pour le retour des fonds.

CrossCurve a suivi la même procédure quelques jours plus tard. CrossCurve a invoqué sa politique SafeHarbor WhiteHat en offrant une prime allant jusqu’à 10 %. Ces réponses sont assez courantes dans la crypto, pour encourager les négociations et les comportements éthiques.

Problème : cette mécanique fonctionne rarement. Selon une analyse de l’industrie sur les hacks de bridges en 2025, seulement 4,6 % des fonds volés ont été voluntairement retournés via des négociations de bounty. 13 % supplémentaires ont été gelés ou rendus inutilisables grâce à des actions rapides des équipes.

Lecture CryptoActu La rançon blanche à 10 % révèle une tension structurelle : les protocoles DeFi n’ont souvent aucun autre recours légal crédible. Sans juridiction claire, sans possibilité de gel des fonds on-chain, l’offre amiable est leur seul levier. Que les hackers l’acceptent ou non en dit long sur la maturité, ou l’absence, d’un cadre légal pour la DeFi en 2026.

Pourquoi les bounties ne suffisent-ils pas à sécuriser les bridges ?

Immunefi a facilité plus de 100 millions de dollars en paiements cumulés de bug bounties, mais les protocoles bridges restent systématiquement sous-assurés par rapport à leur exposition en TVL, laissant des centaines de millions de dollars de pertes potentielles non couvertes.

Le problème est arithmétique. DefiLlama montre que les flux mensuels de bridges dépassent régulièrement 10 milliards de dollars sur les principaux corridors. Quand la valeur bridgée croît plus vite que la sécurité ne mûrit, l’exposition absolue en dollars à l’exploitation augmente aussi, même si le pourcentage de fonds volés reste constant.

Les smart contracts des bridges cumulent un problème supplémentaire : leur complexité. Le risque est amplifié par l’utilisation de contrats upgradables. Si la capacité à corriger des bugs est indispensable, une mise à jour non vérifiée peut introduire accidentellement une nouvelle vulnérabilité ou permettre à un développeur malveillant d’insérer une porte dérobée.

Les plateformes de bounty ont tenté de professionnaliser le secteur. Immunefi a notamment créé un “Bug Bounty Court”, un tribunal arbitral destiné à donner une valeur exécutoire aux accords entre chercheurs et protocoles. Il a développé le premier tribunal de bug bounty d’internet pour apporter une certitude légale, une force exécutoire, et un sentiment d’ordre dans un espace où un seul litige peut déterminer l’avenir d’un projet.

Il reste une frontière grise entre white hat et exploitation pure. En 2024, Kraken avait accusé des chercheurs d’une firme de sécurité blockchain d’avoir retiré près de 3 millions de dollars de ses portefeuilles lors d’une divulgation de bug, refusant de restituer les fonds. La firme CertiK s’était ensuite présentée, alléguant que l’équipe de sécurité de Kraken avait “menacé” des employés pour rembourser un montant “erroné” de crypto dans un délai de six heures “déraisonnable”, sans fournir d’adresse de remboursement. Ce type d’incident illustre que la notion de “divulgation responsable” reste un concept fragile, sans cadre juridique contraignant.

Quelles alternatives émergent face aux limites des bounties ?

Les bridges à client léger ZK peuvent éliminer les hypothèses de confiance sur des validateurs externes qui constituent la surface d’attaque de la plupart des grands incidents. Une infrastructure partagée de messagerie cross-chain peut concentrer l’investissement en sécurité plus efficacement que des contrats de bridge dédiés par protocole.

L’architecture “sans TVL” prend de l’essor. Les bridges “intent-based” comme Across ou deBridge fonctionnent avec une TVL quasi nulle car les opérateurs préfinancent les transferts sans garde. À l’inverse, Wormhole, Stargate et Hyperlane maintiennent des pools de garde qui constituent des cibles attrayantes.

L’enjeu est aussi réglementaire. Les autorités prudentielles commencent à s’interroger sur la conformité MiCA appliquée aux protocoles de messagerie cross-chain. Un bridge qui concentre des milliards d’actifs de citoyens européens sans entité juridique identifiable pose des questions que ni les bug bounties ni les rançons blanches ne peuvent résoudre.

La vérification formelle progresse. Immunefi a versé 100,21 millions de dollars au total en primes, dont 77,5 % ont été alloués à des rapports de bugs sur des smart contracts. Ce chiffre révèle à la fois l’ampleur du problème et l’inefficacité partielle des audits traditionnels : si les bugs existent encore en production après des dizaines d’audits, c’est que les revues statiques pré-déploiement ne suffisent pas. La surveillance continue, des programmes de bounty permanents combinés à du monitoring on-chain en temps réel, s’impose comme le seul modèle viable. Notre enquête sur les risques DeFi face aux audits IA développe cette dimension technique.

Questions fréquentes

Qu’est-ce qu’un bug bounty sur un bridge crypto ?

Un bug bounty est une récompense financière versée par un protocole à un chercheur en sécurité qui découvre et divulgue une faille avant qu’un attaquant ne l’exploite. Sur les bridges, les primes pour vulnérabilités critiques atteignent jusqu’à 15 millions de dollars en 2026, selon les données de Sherlock et Immunefi.

Combien d’argent a été volé sur les bridges cross-chain ?

À ce jour, les bridges cross-chain ont été piratés pour plus de 2,8 milliards de dollars, soit près de 40 % de la valeur totale piratée dans l’ensemble du Web3, selon DefiLlama. Les cas les plus importants incluent Ronin (625 M$, 2022), Wormhole (320 M$, 2022) et Kelp DAO (292 M$, avril 2026).

Pourquoi les hackers acceptent-ils parfois de rendre les fonds ?

La rançon blanche (10 % du butin conservé, 90 % restitués) représente la seule sortie légale propre pour un attaquant identifiable on-chain. Mais selon l’analyse des hacks de bridges en 2025, seulement 4,6 % des fonds ont effectivement été retournés par cette voie, la majorité des attaquants ignorent les offres. Retrouvez l’analyse des mécanismes de blanchiment dans notre enquête sur le blanchiment crypto via les bridges.

Retrouvez toutes nos investigations sur notre page enquêtes.

Sources

Nous ajouter à vos sources préférées sur Google