Les hacks Web3 frappent $4B en 2025 : ce que les NFTs, la DeFi et la crypto doivent apprendre | Actualités NFT Today

Les piratages Web3 en 2025 ont atteint une étape inconfortable. Près de $4 milliard ont été perdus dans la crypto, les NFTs et la DeFi en raison de failles de sécurité, d’escroqueries et d’erreurs humaines simples. Ce chiffre provient du Rapport annuel de sécurité 2025 publié par Hacken, et il dresse un tableau que l’industrie ne peut pas ignorer.

Ce n’était pas une année marquée par des bugs obscurs cachés dans du code expérimental. La majorité des dégâts proviennent de contrôles d’accès faibles, de crédentiels volés et d’ingénierie sociale. En d’autres termes, les mêmes problèmes que les équipes de sécurité ont averti depuis des années — qui se manifestent maintenant à une échelle beaucoup plus grande.

Si vous détenez des NFTs, que vous échangez sur des plateformes centralisées ou que vous construisez dans Web3, les leçons de 2025 comptent plus que jamais.

Un $4 Milliard de réalité pour Web3

Le rapport de Hacken situe les pertes totales pour 2025 à $4 milliard. Ce chiffre inclut les violations de plateformes d’échange, les escroqueries par phishing, les portefeuilles compromis, les rug pulls et les exploits de protocoles.

D’autres sociétés, comme CertiK et Chainalysis, ont estimé des totaux inférieurs — entre 2,5 milliards de dollars et 3,2 milliards de dollars — en fonction de leurs modèles d’attribution. Cependant, toutes les sources majeures s’accordent à dire que 2025 a vu une augmentation à la fois de l’ampleur et de la sophistication des attaques.

Ce qui ressort, ce n’est pas seulement la taille des pertes. C’est d’où elles provenaient.

Les cycles cryptos antérieurs étaient dominés par des erreurs de contrats intelligents. En 2025, l’équilibre a changé. Les échecs opérationnels et les attaques sociales ont causé plus de dégâts que du code cassé. À mesure que plus de capitaux affluaient dans Web3, les attaquants suivaient l’argent — et se concentraient sur les chemins les plus faciles.

Pour les utilisateurs de NFT, ce changement modifie complètement le profil de risque. Un contrat parfait n’aide pas si une approbation de portefeuille ou une demande de signature est abusée.

Comment l’année s’est déroulée

Q1 a tout changé

L’année a mal commencé. À la fin du premier trimestre, plus de $2 milliard avaient déjà été perdus. Cela a fait du Q1 le trimestre le plus mauvais pour la sécurité Web3 jamais enregistré.

Le principal moteur a été la violation de Bybit. Les attaquants n’ont pas exploité un contrat intelligent. Ils ont compromis la chaîne d’approvisionnement et trafiqué l’infrastructure frontale. C’était un rappel que la sécurité de la blockchain ne s’arrête pas à la chaîne elle-même.

Après cet incident, les hypothèses de sécurité ont rapidement évolué.

Le rythme a ralenti, mais la menace n’a pas disparu

Les pertes ont diminué tout au long de l’année. Au Q4, le total des dégâts pour le trimestre s’élevait à environ $350 million. Cette baisse reflétait une meilleure prise de conscience et des temps de réponse plus rapides.

Cependant, les dégâts initiaux n’ont pas pu être effacés. Les attaquants ont ajusté leur stratégie plutôt que de reculer. Moins d’attaques. Un impact plus important.

Où l’argent a été perdu

La faille la plus importante : le contrôle d’accès

Plus de la moitié de toutes les pertes en 2025 provenaient de problèmes de contrôle d’accès. Clés privées compromises. Portefeuilles multisig mal configurés. Crédentiels internes abusés ou divulgués.

Aucun de ces cas ne nécessitait des exploits de pointe. Dans la plupart des cas, les attaquants ont simplement obtenu un accès qu’ils n’auraient pas dû avoir.

Les données de Hacken montrent que 2,12 milliards de dollars — soit 53 % de toutes les pertes — provenaient de défaillances de contrôle d’accès, ce qui en fait la principale cause de vol de crypto en 2025.

Une information clé : les portefeuilles multisig se sont révélés vulnérables lorsque les signataires utilisaient des appareils courants. L’exploit UXLINK a vu des signataires compromis frapper des trillions de tokens, drainer des actifs et les déverser sur le marché.

C’est difficile à admettre, mais c’est aussi utile. Ce sont des problèmes que les équipes peuvent corriger avec de meilleurs processus.

Le phishing est devenu plus difficile à repérer

Le phishing et l’ingénierie sociale ont représenté près de $1 milliard de pertes. Empoisonnement de portefeuilles, faux messages de support, escroqueries par impersonation ont continué d’évoluer.

L’IA a rendu ces attaques plus convaincantes. Entretiens d’embauche falsifiés. Appels vidéo deepfake. Messages qui ressemblent exactement à ce qu’un vrai projet enverrait.

Un utilisateur a perdu $50 million en une seule transaction à cause d’un empoisonnement d’adresse — en confondant le portefeuille d’un escroc avec un portefeuille familier. Un autre a perdu $330 million en Bitcoin après une longue escroquerie d’ingénierie sociale.

Les traders NFT étaient des cibles fréquentes, surtout ceux actifs dans les communautés Discord et Telegram.

Les exploits de contrats intelligents n’ont pas disparu

Les bugs de contrats ont toujours causé des dégâts, totalisant environ $512 million de pertes. La majorité de ces attaques ont touché des protocoles DeFi, avec une concentration plus élevée sur des projets basés sur Ethereum.

Parmi les exploits notables : Balancer v2 ($128M via une erreur d’arrondi), GMX v1 ($42M via une faille de réentrée), et Yearn yETH ($9M via une émission infinie).

Les audits ont permis de réduire la fréquence, mais les cas limites et les intégrations continuaient de créer des risques. La sécurité du code s’est améliorée. Ce n’était simplement pas suffisant en soi.

Plateformes centralisées vs DeFi : des faiblesses différentes

Les plateformes centralisées ont subi les plus gros coups

Les échanges centralisés représentaient plus de la moitié de toutes les pertes. Le cas le plus visible concernait Bybit, où les attaquants ont exploité l’accès frontal plutôt que la logique de la blockchain.

La garde centralise le risque. Les outils internes, les fournisseurs tiers et l’accès des employés élargissent tous la surface d’attaque. Quand quelque chose tourne mal, les chiffres s’emballent rapidement.

L’infrastructure DeFi et NFT est restée exposée

Les exploits DeFi ont dépassé $500 million dans une dizaine d’incidents. Fuites de liquidités, échecs de ponts, erreurs mathématiques sont réapparues encore et encore.

Ethereum était la chaîne la plus ciblée, en grande partie parce qu’une grande partie de l’activité y réside. Les plateformes NFT partageaient souvent des portefeuilles, des permissions ou des services back-end avec des protocoles DeFi, ce qui permettait aux risques de se propager.

Le rôle de la Corée du Nord a fortement augmenté

Une des tendances les plus claires en 2025 concernait les attaquants liés à l’État. Les groupes liés à la Corée du Nord étaient responsables d’environ 52 % des pertes totales, volant plus de $2 milliard au cours de l’année.

En fait, 9 attaques sur 10 liées au contrôle d’accès remontaient à des groupes DPRK, utilisant des tactiques comme des profils de recruteurs falsifiés, des dépôts GitHub contenant des malwares, et des entretiens deepfake.

Les enquêteurs ont relié une grande partie de cette activité à des acteurs associés au Lazarus Group et au cluster TraderTraitor. Leur approche se concentrait sur le phishing, l’imitation et l’accès interne plutôt que sur des exploits techniques.

Comparé à 2024, la valeur volée par ces groupes a augmenté de plus de 50 %. L’ampleur et la coordination ont été remarquables.

Pourquoi les détenteurs de NFT ont ressenti l’impact

Les NFTs n’ont pas généré les chiffres en dollars les plus importants, mais les collectionneurs ont été fortement ciblés. Liens de minting falsifiés. Approbations malveillantes. Comptes Discord compromis se faisant passer pour des administrateurs de projets.

Une fois qu’un portefeuille est compromis, les NFTs se déplacent instantanément. Il n’y a pas de retour en arrière. Les permissions sur les marketplaces restent souvent actives longtemps après que les utilisateurs ont oublié leur existence.

Pour la sécurité des NFTs, les habitudes de portefeuille comptent autant que les protections des plateformes.

L’IA a changé l’équation de la sécurité

L’IA a joué un double rôle en 2025.

Les attaquants ont utilisé l’automatisation, le deepfake et la messagerie adaptative pour intensifier les escroqueries plus vite qu’auparavant. Les défenseurs ont répondu par une meilleure surveillance, la détection d’anomalies et un triage plus rapide des incidents.

Les plateformes de bug bounty comme Immunefi ont permis de détecter précocement les vulnérabilités, montrant que les incitations comptent toujours.

L’écart entre offense et défense ne s’est pas réduit. Il a simplement bougé.

La réglementation a commencé à rattraper son retard

Les attentes en matière de sécurité se sont renforcées dans les principales juridictions.

Aux États-Unis, les cadres de licence exigent de plus en plus des tests de pénétration et une gestion des clés sécurisée par matériel. En Europe, le règlement MiCA insiste sur la séparation de la garde et les audits indépendants.

Ces règles ne supprimeront pas les violations. Elles élèvent le niveau de base et rendent plus difficile de justifier des raccourcis.

Ce qui aide vraiment pour l’avenir

Pour les utilisateurs :
Les portefeuilles hardware réduisent l’exposition. Les appareils dédiés encore plus. Les carnets d’adresses et les aperçus de transaction évitent les erreurs courantes.

Pour les équipes NFT et Web3 :
Un seul audit ne suffit pas. Les revues en couches détectent plus de problèmes. Les configurations multisig et MPC réduisent les points de défaillance uniques. La surveillance doit continuer après le lancement.

Pour l’industrie :
Des normes claires renforcent la confiance. La maturité en sécurité influence désormais l’adoption et le flux de capitaux.

Une année coûteuse, mais un signal clair

Les $4 milliards perdus dans les piratages Web3 en 2025 reflètent une croissance sous pression. Les attaquants ont affiné leurs stratégies. Les défenseurs ont appris en public. La transparence a exposé des faiblesses, mais elle a aussi forcé à l’amélioration.

La sécurité est devenue une crédibilité. Pour les NFTs, la DeFi et la crypto dans son ensemble, la prochaine étape dépend moins de la vitesse et plus de la discipline.