En septembre 2020, les premiers hacks de protocoles de yield farming (bYFI, Eminence.finance) sonnaient l’alarme sur la vulnérabilité de la DeFi naissante. Des millions de dollars perdus en quelques minutes à cause de smart contracts non audités. En 2026, les leçons ont été partiellement apprises : les audits de sécurité sont devenus standard pour les protocoles sérieux, Immunefi a versé plus de 300 millions de dollars en bug bounties depuis sa création, et des assurances DeFi (Nexus Mutual, InsurAce) existent. Mais les hacks continuent : les plus grands ont été Ronin Network (Axie Infinity) pour 625 millions de dollars en mars 2022, et Wormhole pour 320 millions de dollars en février 2022.
En bref
2020 : premiers hacks yield farming (bYFI, Eminence, Harvest Finance, Pickle Finance). Ronin Network hack : mars 2022, 625M$ volés (plus grand hack DeFi), lié au groupe Lazarus nord-coréen. Wormhole hack : février 2022, 320M$ (bridge Ethereum-Solana exploité). Immunefi : plateforme bug bounty crypto, 300M$+ versés à des white hat hackers depuis 2021. Nexus Mutual et InsurAce : assurances DeFi permettant de couvrir partiellement le risque de smart contract. Bilan 2020-2026 : environ 7 milliards de dollars volés dans des hacks DeFi cumulés.
Les hacks marquants depuis 2020
Harvest Finance (2020) : 34M$ via une manipulation de flash loan et de price oracle. Premier grand hack yield farming qui démontrait comment manipuler les prix d’actifs peu liquides pour vider des protocoles.
Poly Network (2021) : 611M$ volés via une vulnérabilité dans leur système de cross-chain. Surprise : le hacker a ensuite rendu la quasi-totalité des fonds (affirmant qu’il voulait “pointer les vulnérabilités”). Premier “whitehat hack” de grande envergure.
Wormhole (février 2022) : 320M$ via un exploit du bridge entre Ethereum et Solana. Jump Crypto (actionnaire de Wormhole) a injecté 320M$ pour couvrir les pertes et maintenir la liquidité.
Ronin Network (mars 2022) : 625M$ dérobés, lié au groupe Lazarus de Corée du Nord selon le FBI. Ronin était le bridge d’Axie Infinity (blockchain gaming). L’attaquant avait compromis des clés privées de validateurs via une attaque de spear-phishing.
L’essor des bug bounties avec Immunefi
Immunefi, fondé en 2020, est devenu la référence des bug bounty crypto. Les projets y publient des programmes de récompense pour les vulnérabilités (typiquement 10 000$ à 10 000 000$ selon la sévérité). En 2026, Immunefi a versé plus de 300 millions de dollars cumulés à des chercheurs en sécurité qui ont divulgué des vulnérabilités de manière responsable. Des centaines de hacks potentiels ont été évités grâce à ce mécanisme.
Questions fréquentes
Comment les hacks DeFi fonctionnent-ils techniquement ?
Les vecteurs d’attaque les plus courants : 1) flash loans (emprunts sans collatéral pour la durée d’une transaction) pour manipuler les prix ; 2) vulnérabilités de reentrancy (le contrat est rappelé avant que la première exécution soit terminée) ; 3) oracle manipulation (manipulation du prix d’un actif de référence) ; 4) bugs logiques dans les smart contracts ; 5) compromission de clés privées (phishing, attaque d’infrastructure). Les bridges cross-chain sont particulièrement vulnérables car ils gèrent des actifs sur plusieurs blockchains et ont plus de surface d’attaque.
Peut-on assurer ses crypto contre les hacks DeFi en 2026 ?
Partiellement. Nexus Mutual (tokenisé, décentralisé) et InsurAce proposent des couvertures pour les smart contract failures sur des protocoles spécifiques. Les primes varient de 2 à 8 % par an selon le protocole et le niveau de risque. Les couverts sont remboursés si le protocole assuré est hacké. Limitations : la couverture ne s’applique qu’au protocole spécifiquement assuré (pas toute la DeFi), les montants maximum couverts sont limités, et les délais de décision en cas de claim peuvent être longs.
La DeFi est-elle plus sûre en 2026 qu’en 2020 ?
Partiellement. Les audits de sécurité (Trail of Bits, OpenZeppelin, Spearbit) sont devenus standard pour les protocoles sérieux. Les bug bounties ont capturé de nombreuses vulnérabilités avant exploitation. Les forks de protocoles éprouvés (MakerDAO, Uniswap, Aave) sont plus sûrs que les contrats entièrement nouveaux. Mais les montants en jeu ont aussi augmenté, rendant les attaques plus lucratives. En 2026, les hacks DeFi ont diminué en nombre mais les événements les plus sévères restent majeurs (des hacks à 50-200M$ surviennent encore).
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash