2025 a été une année difficile pour la cybersécurité dans les actifs numériques, se terminant avec plus de 3,4 milliards de dollars en crypto-monnaies dérobées lors de centaines d'incidents. Des décomptes indépendants indiquent plus de 300 incidents majeurs de sécurité pour l'année. Au moins une part significative de ces vols a été attribuée à des hackers nord-coréens, principalement dans le cas du piratage de Bybit.
Le rapport Skynet Hack3d 2025 est arrivé.
3,35 milliards de dollars perdus. Plus de 700 incidents. Nouvelles vecteurs d’attaque. Tendances clés.
Obtenez l’analyse la plus détaillée de la sécurité Web3 en 2025, des exploits aux perspectives.
Lisez le rapport complet👇
— CertiK (@CertiK) 23 décembre 2025
Voici les cinq plus grands braquages de 2025, dont l’un principalement motivé par l’ingénierie sociale.
Bybit : 1,5 milliard de dollars (février 2025)
Les autorités américaines ont attribué le plus grand vol de crypto de l’histoire au Lazarus Group de Corée du Nord. Les enquêteurs ont indiqué que les attaquants avaient pris le contrôle d’un portefeuille ETH à froid, puis blanchi rapidement les fonds à travers différentes blockchains via BTC et d'autres devises. Les divulgations de la plateforme et des analyses forensiques ultérieures ont montré que d’importantes portions ont transité par THORChain et ont été réparties sur des dizaines de milliers d’adresses.
Selon un rapport ultérieur de Crystal Intelligence, l’attaque subie par Bybit était une opération sophistiquée qui a compromis la partie frontend, trompant ainsi les employés en leur faisant croire qu’ils validaient des transactions légitimes. WazirX et Phemex ont été piratés de manière similaire.
Après l’incident, Bybit a lancé une prime de récupération de 10% et fait appel à des enquêteurs blockchain pour aider à geler les fonds volés. Certaines portions ont été tracées, mais la majorité reste en circulation.
Cetus DEX (Sui) : 220 millions de dollars (mai)
Le plus grand DEX et fournisseur de liquidité de Sui, Cetus, a été vidé de 220 millions de dollars en seulement 15 minutes. Selon Merkle Science, les hackers n’ont pas exploité une faille de smart contract, ce qui est habituel dans l’industrie. Ils ont plutôt profité d’un bug d’arrondi dans une bibliothèque mathématique tierce, utilisée pour les calculs de liquidité et de tarification.
Un attaquant a exploité une faille d’arrondi/vérification MSB pour manipuler les paramètres du pool et extraire des actifs. Les équipes ont réagi rapidement pour mettre les contrats en pause et ont ensuite affirmé qu’environ 160 millions de dollars avaient été gelés ou récupérés.
Cependant, plus de 60 millions de dollars restaient à risque. Il s’agissait du plus important exploit DeFi de l’année et cela a brièvement suspendu les échanges dans l’écosystème Sui.
Balancer : 116 millions de dollars (novembre)
Une faille chez Balancer, un protocole DeFi populaire, a d’abord été repérée par des enquêteurs crypto sur X. Un attaquant a exploité un bug d’arrondi dans la logique du pool stable de Balancer V2 sur Ethereum ainsi que sur plusieurs L2 et sidechains. La divulgation de Balancer confirme la cause technique racine.
Les premières estimations plaçaient les pertes autour de 120 millions de dollars, la majorité sur le réseau principal Ethereum. De plus, une baleine inactive a retiré 6,5 millions de dollars juste après le piratage. La Total Value Locked (TVL) de Balancer a chuté de 442 millions à 214,5 millions de dollars en une seule journée.
Cependant, selon Crystal Intelligence, la plupart des fonds ont été tracés. Les portefeuilles sont désormais surveillés de près pour d’éventuelles transactions afin de geler les fonds volés.
Phemex (CEX) : 73 millions de dollars (janvier)
Phemex, une plateforme d’échange centralisée (CEX) basée à Singapour, a vu son hot-wallet compromis sur 16 blockchains. Des sociétés de sécurité ont signalé des dizaines de sorties suspectes depuis les hot wallets de Phemex sur les principaux réseaux.
Il s’agissait du premier gros hack de 2025 qui a secoué la communauté. Un expert renommé sur X, ZachXBT, qui a participé à l’enquête Bybit, a prouvé que les attaques de Phemex et Bybit avaient été menées par Lazarus et utilisaient des adresses similaires.
Lazarus Group vient de lier directement sur la blockchain le piratage de Bybit à celui de Phemex en mélangeant les fonds des adresses d'origine des deux incidents.
Adresse de recoupement :
0x33d057af74779925c4b2e720a820387cb89f8f65Transactions du hack Bybit le 22 février 2025 :…
— ZachXBT (@zachxbt) 22 février 2025
Après l’incident, la société a complètement interrompu dépôts et retraits, mais dès février, les services avaient repris entièrement avec un renforcement de la sécurité.
Upbit (CEX) : plus de 30 millions de dollars (novembre)
La plus grande plateforme d’échange de Corée du Sud, Upbit, a signalé un piratage en novembre, avec un impact total de 44,5 milliards de wons (environ 34 millions de dollars). Les clients ont été remboursés à partir des réserves, tandis que 5,9 milliards de wons (4 millions de dollars) de fonds propres d’Upbit ont été perdus. Seule une petite portion de 1,77 million de dollars a pu être gelée grâce au traçage.
Upbit a interrompu les flux Solana, déplacé les fonds en cold storage, coordonné les gels avec les émetteurs/plates-formes, et rouvert progressivement les portefeuilles avec de nouvelles adresses de dépôt. Même avec le remboursement, l’incident a souligné le risque de concentration de la CeFi.
Les hacks crypto de 2025 en chiffres
- Total volé : 3,3 à 3,4 milliards de dollars (l’écart reflète les différences méthodologiques entre Chainalysis et Beosin/Footprint).
- Nombre d’incidents : ~313 cas majeurs (Beosin/Footprint).
- Instantané du S1 : environ 2,5 milliards de dollars volés lors de plus de 300 incidents. Selon CertiK, cela dépasse déjà le total pour 2024.
- Attaques typiques : portefeuilles compromis et phishing/ingénierie sociale ont été des moteurs majeurs.
- Plateformes ciblées : Quelques attaques au niveau de l’infrastructure ont dominé les pertes (par exemple, Bybit), alors que le nombre total d’incidents DeFi est resté bien plus élevé, mais avec des pertes moins importantes.
🛡️ Beosin est ravi de publier le rapport mondial sur la sécurité Web3 2025 !
🔍 Points clés :
En 2025, les pertes totales dans l’écosystème Web3 dues aux piratages, #phishing et rug pulls ont atteint 3,375 milliards de dollars lors de 313 incidents majeurs de sécurité.Incidents majeurs : La plus grosse perte individuelle…
— Beosin 🛡 Web3 Security & Compliance (@Beosin_com) 29 décembre 2025
Pourquoi l’ingénierie sociale a compté davantage
En général, les sociétés de sécurité ont noté un glissement vers des compromissions du facteur humain et de la chaîne d’approvisionnement. Les hackers sont passés de frontends piégés et de ruses multisig UI à l’usurpation de dirigeants et au vol de clés, réduisant ainsi la part relative des bugs purement Solidity. Les pertes exceptionnelles de 2025 étaient majoritairement dues à des défaillances de contrôle d’accès, et non à des nouveautés mathématiques on-chain.
Yana Khlebnikova a rejoint CoinSpeaker en tant que rédactrice en janvier 2025, après des passages chez Techopedia, crypto.news, Cointelegraph et CoinMarketCap, où elle a perfectionné son expertise en journalisme crypto.
