En février 2025, Bybit a subi la plus grande perte de l’histoire de la crypto : 1,5 milliard de dollars évaporés en une seule attaque attribuée au groupe nord-coréen Lazarus. Ce chiffre dépasse tous les hacks précédents, d’un secteur où les voleurs ont siphonné 3,4 milliards de dollars rien qu’en 2025. Du bridge Ronin à Mt.Gox, voici les dix braquages qui ont redessiné la sécurité blockchain.

Au programme

  • 1,5 milliard $ volé chez Bybit en février 2025 : le détail technique de l’injection malicieuse dans Safe
  • Lazarus Group impliqué dans au moins 5 des 10 hacks du classement, pour un total estimé à 1,8 milliard $ en 2025 seul
  • Mt.Gox : 850 000 BTC dérobés en 2014, distribution aux créanciers débutée seulement en juillet 2024, soit dix ans après

En un coup d’œil

# Plateforme Montant (USD nominal) Date Attribution
1 Bybit 1 500 000 000 $ 21 févr. 2025 Lazarus Group (RPDC)
2 Ronin Network (Axie) 625 000 000 $ 23 mars 2022 Lazarus Group (RPDC)
3 Poly Network 611 000 000 $ 10 août 2021 Anonyme (fonds rendus)
4 BNB Bridge (Binance) 570 000 000 $ 6 oct. 2022 Non attribué
5 Coincheck 530 000 000 $ 26 janv. 2018 Suspects japonais
6 Mt.Gox 450 000 000 $ (2014) 7 févr. 2014 Non attribué
7 Wormhole Bridge 325 000 000 $ 2 févr. 2022 Non attribué
8 DMM Bitcoin 305 000 000 $ 31 mai 2024 Lazarus Group (suspecté)
9 KuCoin 281 000 000 $ 26 sept. 2020 Lazarus Group
10 Bitfinex 72 000 000 $ (2016) 2 août 2016 Ilya Lichtenstein

Top 10 des plus gros hacks crypto (montant nominal, USD)Sources : Chainalysis 2025 Crime Report, post-mortems officielsBybit (2025)Ronin (2022)Poly Network (2021)BNB Bridge (2022)Coincheck (2018)Mt.Gox (2014)Wormhole (2022)DMM Bitcoin (2024)KuCoin (2020)Bitfinex (2016)1 500 M$625 M$611 M$570 M$530 M$450 M$325 M$305 M$281 M$72 M$

Comment Bybit a-t-elle perdu 1,5 milliard de dollars en une nuit ?

En février 2025, Bybit a subi la plus grande perte de l’histoire de la crypto : 1,5 milliard de dollars (environ 401 000 ETH) lors d’un transfert hot-to-cold détourné via injection malicieuse dans l’interface Safe. Lazarus Group (RPDC) identifié par TRM Labs, Chainalysis et le FBI. Bybit a remboursé sur fonds propres, soit environ 5,2 % de ses actifs sous gestion.

Le 21 février 2025, les attaquants ont ciblé le multisig Safe utilisé par Bybit pour ses transferts internes. Ils ont injecté du code malveillant dans l’interface graphique (UI mismatch), trompant les signataires sur la nature réelle de la transaction. En validant ce qui semblait être un transfert ordinaire, les équipes ont en réalité cédé le contrôle du wallet froid à un contrat malveillant.

Le CEO Ben Zhou a confirmé sur X la solvabilité de l’exchange dans les heures suivant l’incident. Bybit a remboursé la totalité des utilisateurs touchés sur fonds propres. Les attaquants ont blanchi environ 1 milliard de dollars via Thorchain en quelques jours. À ce jour, Chainalysis estime que seuls 140 millions de dollars ont été récupérés ou gelés.

Comment Lazarus Group a-t-il frappé Ronin Network pour 625 millions $ ?

Le 23 mars 2022, Ronin Network a perdu 625 millions de dollars (173 600 ETH et 25,5 millions USDC). L’attaque débute par un spear phishing sur LinkedIn : un ingénieur senior de Sky Mavis reçoit une fausse offre d’emploi, télécharge un document piégé et cède ainsi l’accès à cinq des neuf validateurs du bridge. Attribution officielle : US Treasury OFAC, sanctions Lazarus Group.

Le bridge Ronin sécurisait les actifs du jeu Axie Infinity, alors à son apogée. Une fois cinq validateurs compromis, les attaquants ont atteint le seuil de consensus et signé des transactions frauduleuses à volonté. La faille n’a été détectée que six jours plus tard, lorsqu’un utilisateur a signalé ne pas pouvoir retirer ses fonds.

Sky Mavis a organisé une levée d’urgence de 150 millions de dollars, menée par Binance, pour rembourser les utilisateurs. L’incident a profondément modifié la conception des bridges multi-validateurs dans l’ensemble de l’industrie.

Poly Network : 611 millions $ rendus volontairement, comment est-ce possible ?

Le 10 août 2021, un attaquant anonyme a exploité une vulnérabilité dans le smart contract EthCrossChainManager de Poly Network. En appelant la fonction verifyHeaderAndExecuteTx avec des paramètres manipulés, il est devenu le “keeper” du système et a drainé simultanément les pools sur Ethereum, BNB Chain et Polygon.

La suite est unique dans l’histoire de la crypto. L’attaquant, surnommé “Mr. White Hat”, a restitué la totalité des fonds sur deux semaines. Il a déclaré avoir agi “pour le sport et la sécurité”, affirmant ne jamais avoir eu l’intention de garder les actifs. Poly Network lui a proposé 500 000 dollars de bug bounty ainsi qu’un poste de Chief Security Advisor. Il a décliné les deux offres.

Cet épisode a alimenté un débat durable sur la frontière entre recherche offensive en sécurité et exploitation criminelle. Aucune poursuite judiciaire n’a abouti, faute d’identification.

BNB Bridge : Binance a gelé sa propre blockchain pour limiter 570 millions $ de dommages

Le 6 octobre 2022, un attaquant a forgé une preuve Merkle invalide pour minter 2 millions de BNB sur le bridge BSC Token Hub, qui relie la Binance Beacon Chain à la BNB Smart Chain. Ces BNB ont été créés sans aucun collatéral réel.

Binance a pris une décision sans précédent : suspendre intégralement BNB Chain pendant 24 heures et coordonner les validateurs pour bloquer les sorties. Cette réaction rapide a permis de retenir environ 430 millions de dollars dans l’écosystème. Les pertes effectives sont estimées à 140 millions de dollars.

L’incident a relancé les critiques sur la centralisation de BNB Chain, dont le petit nombre de validateurs a rendu possible une intervention d’urgence que des réseaux plus décentralisés n’auraient pas pu organiser aussi vite. Aucune attribution publique n’a été formulée.

Coincheck (2018) et Mt.Gox (2014) : les deux fantômes du marché japonais

Le 26 janvier 2018, l’exchange japonais Coincheck a perdu 523 millions de XEM (NEM), soit 530 millions de dollars. Les tokens étaient stockés dans un simple hot wallet, sans multisig ni hardware wallet. La fondation NEM a tenté de “taguer” les coins volés pour les rendre inéchangeables, mais les attaquants ont liquidé via des réseaux OTC. Des suspects japonais ont été condamnés en 2021 à 22 mois de prison. Coincheck a remboursé tous ses clients en yens sur fonds propres, avant d’être racheté par Monex Group en avril 2018.

Mt.Gox représente un cas à part. La fuite de 850 000 BTC s’est étalée de 2011 à 2014 via une combinaison de transaction malleability et de clés privées compromises. À l’époque, la perte nominale atteignait 450 millions de dollars. Aux prix de 2025, ces BTC valent environ 80 milliards de dollars. Mark Karpelès a été condamné en 2019 à 2,5 ans avec sursis. Deux cent mille BTC ont été retrouvés. La distribution aux créanciers a démarré en juillet 2024, soit dix ans après les faits.

Hacks crypto : chiffres cles 2024-20253,4 Md$voles en 2025(+55 % vs 2024)2,2 Md$voles en 20241,8 Md$Lazarus Group 2025(50 % du total)370 M$janv. 2026 (40 incidents)Source : CertiKSources : Chainalysis 2025 Crime Report, CertiK Hack3d Report janvier 2026

Wormhole, DMM Bitcoin, KuCoin : trois failles différentes, même résultat

Le 2 février 2022, Wormhole Bridge a perdu 325 millions de dollars (120 000 wETH) à cause d’une faille dans la vérification des signatures guardian côté Solana. Le correctif avait été poussé sur GitHub cinq jours avant l’exploit, mais n’avait pas été déployé en mainnet. Jump Crypto, mainteneur du bridge, a comblé le trou dans la nuit avec ses propres fonds.

Le 31 mai 2024, DMM Bitcoin, exchange japonais, a vu 4 502 BTC (305 millions de dollars) partir de son hot wallet. La cause technique précise n’a jamais été rendue publique. DMM a annoncé sa fermeture en décembre 2024 et le transfert de ses comptes vers SBI VC Trade. Chainalysis suspecte Lazarus Group au vu des patterns de blanchiment.

KuCoin a subi en septembre 2020 la compromission de la clé privée de son hot wallet, pour 281 millions de dollars. Environ 150 millions ont été récupérés grâce au gel des tokens ERC-20 par leurs émetteurs (Tether, USDC, Velo). La perte définitive est estimée à 45 millions de dollars. Attribution : Lazarus Group selon Chainalysis.

Comment le couple Lichtenstein a blanchi les 119 756 BTC du hack Bitfinex ?

Le 2 août 2016, 119 756 BTC ont été siphonnés du wallet multisig BitGo de Bitfinex pour une valeur de 72 millions de dollars à l’époque, soit environ 7 milliards de dollars aux prix de 2025. Bitfinex a socialisé la perte en appliquant une décote de 36 % sur l’ensemble des comptes clients, compensée par des tokens BFX rachetés progressivement.

Six ans plus tard, en février 2022, le DOJ américain a arrêté Ilya Lichtenstein et Heather “Razzlekhan” Morgan à New York. Lichtenstein a plaidé coupable du hack en août 2023. Le DOJ a saisi 94 643 BTC, soit 3,6 milliards de dollars. En novembre 2024, Lichtenstein a été condamné à cinq ans de prison, Morgan à dix-huit mois.

En août 2016, 119 756 BTC ont été volés à Bitfinex via le système multisig BitGo. Valeur nominale : 72 millions de dollars. En 2022, le DOJ a saisi 94 643 BTC (3,6 milliards de dollars) et arrêté le couple Lichtenstein-Morgan. Sentencing novembre 2024 : 5 ans et 18 mois respectivement. Source : DOJ US, 2022-2024.

Ce dossier illustre la traçabilité de la blockchain : neuf ans après les faits, les fonds ont pu être retracés et saisis.

Synthèse

La trajectoire est sans ambiguïté. Les voleurs ont siphonné 2,2 milliards de dollars en 2024, puis 3,4 milliards en 2025, soit une progression de 55 % en un an. Lazarus Group concentre à lui seul environ 1,8 milliard de dollars sur cette dernière année, représentant la moitié du total mondial. Janvier 2026 a enregistré 370 millions de dollars dérobés en quarante incidents selon CertiK, un rythme qui place l’année sur une trajectoire encore plus élevée.

Les vecteurs d’attaque évoluent : les bridges inter-chaînes et les interfaces de signature (comme Safe chez Bybit) sont devenus les cibles prioritaires, supplantant les simples hot wallets des premières années. La DeFi concentre encore 65 % des incidents, mais les exchanges centralisés restent vulnérables dès que la gestion des clés privées est défaillante.

Face à cette escalade, plusieurs tendances de fond se confirment. Les institutions adoptent des solutions de signature multi-parties (MPC) pour éliminer les points uniques de compromission. Les régulateurs japonais, européens et américains renforcent leurs exigences de réserves de preuve et d’audit de sécurité en temps réel. La traçabilité blockchain, illustrée par la saisie Bitfinex neuf ans après les faits, reste l’arme la plus durable contre le blanchiment post-hack. La question n’est plus de savoir si un nouvel incident de grande ampleur surviendra, mais quand et sur quelle infrastructure.

Questions fréquentes

Quel est le plus gros hack crypto de l’histoire en montant nominal ?

C’est le hack Bybit du 21 février 2025 : 1,5 milliard de dollars (environ 401 000 ETH) dérobés en une seule attaque. Lazarus Group (Corée du Nord) est l’auteur confirmé, selon TRM Labs, Chainalysis et le FBI. Bybit a remboursé l’intégralité des utilisateurs sur fonds propres.

Lazarus Group est-il responsable de tous les grands hacks crypto ?

Pas de tous, mais d’une part significative. Lazarus Group est attribué à au moins cinq des dix hacks de ce classement : Bybit, Ronin, KuCoin, DMM Bitcoin (suspecté) et d’autres incidents hors top 10. En 2025, le groupe nord-coréen a volé environ 1,8 milliard de dollars, soit 50 % du total mondial selon Chainalysis.

Les victimes de hacks crypto sont-elles remboursées ?

Cela dépend de la plateforme. Bybit, Ronin, Wormhole et KuCoin ont remboursé leurs utilisateurs sur fonds propres ou via levée d’urgence. Mt.Gox a débuté sa distribution aux créanciers en juillet 2024, dix ans après les faits. Poly Network est le seul cas où le hacker a restitué volontairement la totalité des fonds.

Quels types de plateformes sont les plus ciblées ?

La DeFi concentre 65 % des incidents selon Chainalysis, principalement via des failles dans les smart contracts et les bridges inter-chaînes. Les exchanges centralisés représentent 35 % des cas, mais les montants unitaires y sont souvent plus élevés car les fonds sont centralisés dans des hot wallets.

Qu’est-ce que la transaction malleability qui a coulé Mt.Gox ?

La transaction malleability est une propriété du protocole Bitcoin (corrigée depuis SegWit en 2017) qui permettait de modifier l’identifiant d’une transaction sans en changer le contenu. Mt.Gox utilisait ces identifiants pour confirmer les retraits : les attaquants modifiaient l’ID, forçant Mt.Gox à réémettre des fonds déjà envoyés.

Comment se protéger contre une attaque de type Bybit ou Wormhole ?

Plusieurs pratiques réduisent le risque : utiliser des solutions MPC (multi-party computation) plutôt que des multisigs classiques, vérifier les données brutes des transactions et pas seulement l’interface graphique, déployer immédiatement les correctifs de sécurité (Wormhole avait le patch cinq jours avant l’exploit), et procéder à des audits indépendants réguliers des smart contracts et des bridges.

EN DIRECT