Avril 2026 : les hacks crypto ont detoure plus de 600 millions de dollars en 18 jours
En moins de trois semaines, le secteur de la cryptomonnaie a perdu plus de 606 millions de dollars dans une serie d’attaques ciblant principalement les protocoles DeFi et les ponts inter-chaines. Le mois d’avril 2026 s’affiche d’ores et deja comme le pire mois pour la securite crypto depuis le braquage de Bybit en fevrier 2025, qui avait deja represente 1,4 milliard de dollars disparus. Deux attaques se detachent par leur ampleur : l’exploitation de Drift Protocol pour 285 millions de dollars le 1er avril, puis celle de Kelp DAO pour 292 millions de dollars le 19 avril. Les fonds ont ete achemines en partie vers des plateformes centralisees, et le groupe nord-coreen Lazarus a ete identifie comme responsable d’au moins l’une des deux attaques.
Contexte
Le marche de la finance decentralisee (DeFi) a connu une croissance rapide au cours des deux dernieres annees, avec des milliards de dollars verrouilles dans des protocoles de pret, d’echange et de staking sur Ethereum, Solana et d’autres blockchains. Cette liquidite concentre represente une cible de choix pour les attaquants, particulierement lorsque les mecanismes de securite reposent sur des hypotheses de confiance qui ne tiennent pas en pratique.
Depuis le debut de l’annee 2026, le secteur a perdu plus de 786 millions de dollars selon les donnees compilees par DefiLlama. Le mois d’avril a particulierement frappe : douze incidents distincts ont ete enregistres en dix-huit jours, selon le suivi de la plateforme. La particularite de cette serie reside dans la convergence des methodes d’attaque, avec une preference marquee pour les ponts inter-chaines (bridges) qui permettent de transferer des actifs entre plusieurs reseaux.
Les faits
Le 1er avril 2026, Drift Protocol, le plus grand protocole de perpetuels decentralises sur Solana, a confirme une attaque majeure sur ses coffres. Les attaquant ont draine environ 285 millions de dollars en douze minutes, avant de transferer l’essentiel des fonds vers Ethereum dans les heures qui ont suivi. L’equipe de Drift a declare sur le reseau X (ex-Twitter) que l’incident n’etait « pas un poisson d’avril », jouant sur la date de l’attaque pour deceler la gravite de la situation.
Les recherchers en securite blockchain, dont l’analyste on-chain ZachXBT, ont identifie le groupe Lazarus comme responsable de cette attaque. Le collectif nord-coreen, deja auteurs de plusieurs braquages massifs dans le secteur, dont le piratage de Bybit, aurait passe environ six mois a mener des operations de social engineering pour compromettre des clefs administratives du protocole, selon les informations rapportees par plusieurs sources specialisees. Le montant detourné represente plus de la moitie de la liquidite totale disponible sur le protocole au moment de l’attaque.
Dix-huit jours plus tard, le 19 avril, Kelp DAO a ete touche a son tour. Le protocole de restaking sur Ethereum a perdu 292 millions de dollars dans l’exploitation de son pont LayerZero. L’attaquant a retire 116 500 rsETH du contrat de pont, soit environ 18 % de l’offre circulante de ce token de restaking liquide. L’attaque a gele les marches rsETH sur vingt blockchains, et le protocole de pret Aave a ete amene a prendre des mesures d’urgence pour proteger ses utilisateurs face a la chute brutale de la valeur de garanti.
Analyse
Les deux attaques illustrent une evolution dans les methodes des groupes de piratage ciblant la cryptomonnaie. Pour Drift Protocol, les attaquants ont eu recours a une manipulation d’oracle : ils ont cree un token fictif appele Carbonvote Token (CVT), l’ont anime avec quelques milliers de dollars de liquidite sur Raydium, puis ont procede a du wash trading pour establishes un historique de prix que les oracles de Drift ont integre comme valeur legitime. Le protocole a alors accepte ce token comme garantie pour des centaines de millions de dollars de prets, permettant aux attaquants de vider les coffres reels.
Pour Kelp DAO, l’attaque a exploite une faille dans le fonctionnement du pont LayerZero, qui fait transiter des messages entre differentes blockchains. L’attaquant a pu spoofe (usurper) les messages du pont pour liberer des fonds sans depot reel. Ce type d’attaque, appele bridge message spoofing, permet de drainer l’integralite des reserves d’un token wrappe sur plusieurs reseaux en une seule transaction. La complexite technique necessaire pour organiser ce type d’exploitation reste elevee, mais les rendements potentiel sont proportionnels.
Les protocoles de restaking comme Kelp DAO presentent un risque systemique particulier. Lorsque des tokens comme le rsETH sont utilises comme garantie sur plusieurs plateformes de pret (Aave, SparkLend, Fluid, Upshift), une faille dans leur reserve peut creer un effet de contagion rapide. Si les utilisateurs detiennent des tokens qui ne sont plus entierement backs par des reserves, les protocoles de pret doivent proceder a des liquidations forcées qui amplifient la chute du cours.
Reactions du marche
A la suite de l’attaque sur Drift Protocol, le token DRIFT a chute de plus de 40 % en quelques heures. La liquidite totale bloquee (TVL) du protocole est passe d’environ 550 millions de dollars a moins de 300 millions de dollars en moins d’une heure. L’impact sur le marche Solana a ete limite, mais les investisseurs ont commence a retirer des fonds des protocoles DeFi perceurs comme cible d’attaques similaires.
Pour Kelp DAO, l’effondrement de la valeur du rsETH a declenche des mesures de protection sur les plateformes de pret. Aave a active des mécanismes pour eviter que des positions entierement sous-evalues ne generan des pertes pour le protocole. Le marche du rsETH a ete gele sur plusieurs reseaux, laissant les detenteurs dans l’impossibilite de transferer ou de vendre leurs tokens. La capitalisation bourdante de ces produits de restaking a ete particulierement exposee a ce type de risque de contrepartie.
Les volumes de transacti ons suspectes ont augmente sur plusieurs blockchain selon les donnees on-chain. TRM Labs, specialise dans l’analyse blockchain pour les enquetes criminelles, a note une augmentation des transferts lies a des groupes de hackers etablis. La plateforme TradeOgre a ete identifie comme un point de passage frequent pour les fonds detournes lies a des marche’s illegaux, des ransomware et des arnaques.
Perspectives
Le secteur fait face a une pression croissante pour renforcer les mecanismes de securite des ponts inter-chaines et des protocoles DeFi. Les audits de smart contracts restent insuffisants face a la complexite croissante des architectures multi-chaines. Plusieurs firmes specialisees, dont Sherlock et Trail of Bits, ont multiplie les avertissements sur les modeles de confiance implicites dans les protocoles de pont.
Les solutions techniques proposees incluent l’ajout de couches de validation supplementaires, l’imposition de delais pour les grandes transactions, et la mise en place de time-locks pour les operations de governance. Les protocoles qui ont implemente ces protections ont globalement mieux resisté aux attaques recentes. Cependant, le cout de mise en oeuvre de ces mesures reste eleve, et tous les projets n’ont pas les ressources pour les appliquer.
Pour les investisseurs, la prudence s’impose. Les protocoles DeFi presentant des volumes suspects sur leurs tokens de garantie, des admin keys centralisees ou des integrations de pont non audite doivent faire l’objet d’une vigilance particulier. La diversification des positions et l’evitement des exposes massifs sur un seul protocole restent les strategies les plus robustes face a ce type de risque.
