Les hacks DeFi chutent de 80% mais les failles multi-chaînes émergent comme nouveau risque

La finance décentralisée est devenue bien plus sûre au cours des six dernières années. Une nouvelle analyse des pertes de protocoles de 2020 à 2025 vient étayer cette affirmation avec des chiffres éloquents.

Les pertes DeFi à l'échelle du secteur ont culminé à 2,62 milliards de dollars en 2022, avant de chuter d'environ 80 % pour atteindre 534 millions de dollars en 2024. Les piratages de bridges, qui faisaient autrefois la une des journaux avec des milliards de dollars en jeu, ne représentent désormais qu'une infime part des totaux annuels. L'exploit type d'aujourd'hui cause environ quatre fois moins de dommages qu'au pic.

Les pertes ont diminué malgré plus de chaînes et d'utilisateurs

Ce que les données ont d'encourageant, c'est que les attaques bon marché et répétables ont été pour la plupart éliminées. Les pertes totales ont chuté de 80 % en deux ans, même si la valeur totale verrouillée (TVL) de la DeFi a continué de progresser. La perte médiane par incident est passée de 6 millions de dollars en 2022 à 1,5 million de dollars en 2025, soit une baisse de 75 %.

Le nombre d'incidents uniques a atteint 83 en 2025. Les piratages sont plus nombreux, mais chacun cause bien moins de dommages. C'est à peu près ce à quoi doit ressembler un domaine de la sécurité qui arrive à maturité.

Les bridges constituaient la vulnérabilité majeure en 2021 et 2022. En 2022 seulement, neuf exploits de bridges ont entraîné 1,9 milliard de dollars de pertes. Le Ronin Bridge a à lui seul occasionné une perte de 624 millions de dollars. Les piratages de bridges représentaient 73 % de toutes les pertes DeFi cette année-là. En 2025, la part des bridges s'était effondrée à 3 %. Des mécanismes de vérification améliorés, des ensembles de validateurs décentralisés et un passage vers la messagerie cross-chain native ont contribué à réduire cette catégorie.

Les attaques par flash-loan ont suivi la même trajectoire descendante. Elles représentaient 54 % de toutes les pertes en 2020. En 2025, elles comptaient pour moins de 1 %. Les protocoles ont adopté des défenses adaptées à ce type d'attaque : prix moyens pondérés dans le temps, intégrations d'oracles Chainlink, protections contre la réentrance, et des conceptions supposant qu'un attaquant peut manipuler les prix au sein d'une seule transaction atomique.

Les compromissions de clés privées ont connu un déclin similaire. Elles sont passées de 28,7 % des pertes en 2022 à 8,1 % en 2025. Chacune de ces catégories a diminué parce que le secteur a reconnu un schéma répétable et a construit des réponses standardisées.

Ce qui reste est plus difficile à contrer

L'élimination des attaques génériques a laissé place à une catégorie bien plus difficile à traiter. En 2025, 89,1 % des pertes DeFi provenaient d'exploits de logique de protocole. Il s'agit de failles au niveau du code, propres à la conception d'une application donnée. Un piratage de bridge implique des hypothèses de confiance reconnaissables. Une attaque par flash-loan fait partie d'une famille de techniques connues. Les deux peuvent être contrées par des schémas réutilisables.

Un bug de logique de protocole est par nature sur mesure. Il émerge des mathématiques particulières, des contrôles d'accès ou des choix de composabilité d'une seule base de code. Il est difficile de s'en défendre de manière systématique, car chaque instance est son propre casse-tête.

Le déploiement multi-chaînes transforme les bugs en crises

Le déploiement multi-chaînes transforme l'un de ces bugs sur mesure en crise à grande échelle. Les grands protocoles déploient souvent le même code sur Ethereum, Base, Arbitrum, Polygon, OP Mainnet et Sonic. Une seule faille peut drainer les fonds de chaque réseau qui l'exécute en même temps.

Nous l'avons constaté en novembre 2024, lorsque les V2 Composable Stable Pools de Balancer ont été vidés d'environ 128 millions de dollars en moins d'une demi-heure sur six blockchains simultanément. Selon Check Point Research, l'attaquant a exploité une faille de précision arithmétique dans les mathématiques invariantes des pools. Il a poussé les soldes de tokens vers une limite d'arrondi, puis a enchaîné des swaps groupés jusqu'à ce que ces minuscules erreurs se cumulent pour aboutir à un drainage complet.

Les contrats présentant la même vulnérabilité avaient été déployés sur Ethereum, Arbitrum, Base, Polygon, Sonic et OP Mainnet. L'exploit les a tous atteints en même temps, car la faille était intégrée dans le code lui-même, et ce code avait été copié partout. Onze audits distincts n'avaient pas réussi à la détecter.

Le rapport d'ImmuneFi établit un lien direct entre l'exploit Poly Network d'environ 611 millions de dollars en 2021 et Balancer en 2025. Poly Network était une défaillance au point de connexion entre les systèmes. Balancer était la même logique échouant de manière identique sur des réseaux partageant du code, des chemins de signataires et des hypothèses de vérification.

La mesure de la sécurité a changé

Dès qu'une chaîne fait partie de la carte de déploiement par défaut des grands protocoles, elle absorbe la surface de risque de tout ce qu'elle héberge. Le rapport attribue la perte totale d'un exploit multi-chaînes à chaque chaîne affectée. Les participants sur les six réseaux ont été exposés à l'impact total.

Les chiffres de piratage 2025 pour Polygon, OP Mainnet, Base et Sonic sont fortement influencés par la cascade Balancer. Le rapport exclut entièrement les défaillances des exchanges centralisés. Le plus grand vol de l'année, le piratage Bybit de 1,5 milliard de dollars que le FBI a attribué à la Corée du Nord, est considéré comme une défaillance de garde et non de protocole.

Sur la base du ratio pertes/TVL, le niveau le plus sûr parmi les grands écosystèmes était Ethereum à environ 0,42 %, Solana à 0,42 % et BNB Chain à 0,33 %. Ces trois plus grands écosystèmes DeFi suggèrent que l'échelle et la sécurité se sont améliorées ensemble.

Une perte peut désormais survenir dans une application qui porte une faille importée d'ailleurs. La commodité qui rend les applications multi-chaînes attrayantes est ce qui fait escalader cette erreur d'un niveau local à un niveau partagé. Les cryptomonnaies ont créé des chaînes séparées en partie pour éviter de dépendre d'un seul système. L'exécution du même petit nombre de protocoles populaires sur toutes ces chaînes a reconstitué la concentration que ces chaînes étaient censées éviter.

Le prochain grand incident pourra sembler mineur le jour où il se produira — un simple bug de logique dans un protocole largement déployé. Sa véritable ampleur ne se révélera que lorsque les gens réaliseront que le même code vulnérable se trouvait sur une demi-douzaine de réseaux depuis le début.

The post DeFi hacks drop 80% but multi-chain flaws emerge as new risk appeared first on TheCryptoUpdates.