Avril a marqué un record inquiétant pour la crypto : jamais le secteur n’avait recensé autant d’exploits en un seul mois. Le total volé dépasse les 600 millions de dollars selon plusieurs compilations de données, mais le vrai signal n’est pas seulement financier. Il est opérationnel. Les attaquants ne cherchent plus seulement le bug dans le code. Ils visent aussi les clés, les accès, les équipes et les dépendances entre protocoles.
Un record qui change la lecture du risque crypto
Le mois d’avril montre une bascule nette. Les pertes ne battent pas les pires records historiques en valeur absolue. Mais le nombre d’incidents, lui, explose. Cela signifie que le risque n’est plus concentré dans quelques grands protocoles mal protégés. Il se diffuse dans toute la chaîne DeFi. Cette pression rejoint déjà le malaise visible autour de la confiance dans les plateformes Web3.
Cette multiplication des attaques rend le marché plus nerveux. Un hack isolé peut être absorbé. Une série d’exploits, presque quotidienne, casse la confiance. Les utilisateurs ne regardent plus seulement le rendement affiché. Ils se demandent si le protocole tiendra jusqu’au prochain lundi. Plusieurs compilations, dont Binance Square, évoquent des pertes supérieures à 600 millions de dollars en avril.
DeFiLlama suit depuis des années les pertes liées aux hacks, aux bridges et aux exploits DeFi. Sa base de données montre à quel point la sécurité reste l’un des points faibles structurels de l’écosystème. Les montants cumulés se chiffrent en milliards de dollars, ce qui rappelle une vérité simple : la finance ouverte reste une finance exposée.
KelpDAO et Drift, deux attaques qui pèsent lourd
L’attaque contre KelpDAO domine le mois. Elle aurait entraîné près de 290 millions de dollars de pertes et provoqué des tensions importantes autour d’Aave. Le problème ne s’est pas arrêté au protocole touché. Il s’est propagé à travers les collatéraux, les prêts et la liquidité. Le Wall Street Journal a décrit la tentative de sauvetage d’Aave après cette attaque.
C’est précisément ce qui rend la DeFi fragile. Un actif compromis peut devenir une dette ailleurs. Un bridge attaqué peut secouer un protocole de lending. Une faille localisée devient alors une crise de bilan. Dans la finance traditionnelle, ce phénomène s’appelle contagion. En DeFi, il va plus vite.
Drift Protocol a subi une autre attaque majeure le 1er avril. Chainalysis évoque un exploit d’environ 285 millions de dollars, lié à une opération coordonnée et probablement connectée à des acteurs nord-coréens. Là encore, le message est dur : les hackers ne jouent plus seulement avec des contrats intelligents. Ils construisent des campagnes longues.
Les hackers attaquent désormais les humains
Le détail le plus inquiétant concerne la méthode. Plusieurs incidents récents ne ressemblent pas à de simples bugs Solidity. Ils touchent les accès privilégiés, les signatures, les systèmes cloud, les autorisations et les procédures internes. C’est moins spectaculaire qu’un bug de code. Mais souvent plus dangereux.
Dans le cas de Drift, des analyses évoquent une campagne de plusieurs mois, avec une ingénierie sociale ciblée. Ce type d’attaque ne se règle pas avec un audit classique. On peut auditer un smart contract. Il est plus difficile d’auditer la fatigue d’un développeur, une mauvaise validation ou une clé trop puissante. The Hacker News a aussi relié l’incident Drift à une longue phase de préparation et d’ingénierie sociale.
La crypto a longtemps vendu l’idée que “le code fait loi”. Avril rappelle une nuance brutale : les humains tiennent encore les clés de cette loi. Tant que des administrateurs, multisigs, bridges et oracles restent au centre du système, la sécurité ne dépend pas seulement du code. Elle dépend aussi de la discipline. C’est exactement le type de terrain où les outils capables de traquer les criminels crypto plus vite deviennent utiles, sans remplacer une vraie hygiène opérationnelle.
La DeFi doit revoir sa sécurité comme une banque
La réponse ne peut plus être seulement réactive. Geler des fonds, lancer un plan de sauvetage ou publier un post-mortem ne suffit pas. Il faut réduire les droits administrateurs, isoler les collatéraux risqués, limiter les dépendances entre protocoles et surveiller les comportements hors chaîne.
L’affaire KelpDAO a relancé le débat sur les actifs restakés et leur utilisation comme collatéral. Galaxy note que ce type d’incident renforce l’argument pour des règles plus strictes, notamment autour des listings isolés et des ratios de prêt plus prudents. Ce n’est pas très vendeur. Mais c’est nécessaire.
Le marché crypto veut attirer des institutions, tokeniser des actifs réels et gérer des milliards. Mais cette ambition exige une sécurité moins artisanale. Les hacks d’avril ne disent pas que la DeFi est morte. Ils disent qu’elle grandit mal si elle confond vitesse, rendement et robustesse. C’est aussi pourquoi les débats sur les points d’entrée, comme les crypto ATMs jugés trop risqués au Canada, reviennent dans le même grand dossier : la crypto doit sécuriser ses accès autant que son code.
En bref
- Avril a battu un record en nombre d’exploits crypto.
- Les attaques ciblent autant les humains que le code.
- La DeFi doit durcir ses accès, ses bridges et ses garanties.
