La finance décentralisée est devenue beaucoup plus sûre au cours des six dernières années, et un nouvel examen des pertes protocolaires de 2020 à 2025 met un chiffre assez important derrière cette affirmation.
Les pertes DeFi à l’échelle du secteur ont culminé à 2,62 milliards de dollars en 2022 et ont chuté d’environ 80 % pour atteindre 534 millions de dollars en 2024. Les piratages de ponts qui faisaient autrefois la une des journaux valant des milliards de dollars représentent désormais une infime partie des totaux annuels, et l’exploit typique fait aujourd’hui environ un quart de dégâts autant qu’au sommet.
Bien qu’il s’agisse certainement d’une excellente nouvelle pour l’industrie de la cryptographie, il reste encore beaucoup de risques ; il apparaît simplement à un endroit différent. Les principaux protocoles déploient désormais souvent le même code sur Ethereum, Base, Arbitrum, Polygon, OP Mainnet et Sonic, de sorte qu’une seule faille peut désormais drainer des fonds sur chaque réseau qui l’exécute en même temps, et c’est la forme que prendra probablement le prochain problème systémique de la cryptographie.
Nous l’avons vu en novembre de l’année dernière, lorsque les pools stables composables V2 de Balancer ont été drainés d’environ 128 millions de dollars en moins d’une demi-heure sur six blockchains simultanément.
Selon Check Point Research, l’attaquant a exploité un défaut de précision arithmétique dans les calculs invariants des pools, poussant les soldes de jetons sur une limite d’arrondi, puis enchaînant les swaps par lots jusqu’à ce que ces petites erreurs se transforment en un drain complet.
Les contrats présentant la même vulnérabilité avaient été déployés sur Ethereum, Arbitrum, Base, Polygon, Sonic et OP Mainnet, de sorte que l’exploit les a tous atteints en même temps car la faille était intégrée dans le code lui-même et ce code avait été copié partout.
Comme indiqué à l’époque, onze audits distincts n’ont pas réussi à le détecter, ce qui montre à quel point cette classe de bugs est devenue subtile et pourquoi il est beaucoup plus difficile à anticiper que les attaques précédentes.
Les hacks sont devenus plus petits à mesure que les chaînes se multipliaient
La partie encourageante des données est que les attaques bon marché et reproductibles qui ont défini les premières années de la cryptographie ont pour la plupart été conçues pour disparaître, et les pertes totales ont chuté de 80 % en deux ans, alors même que le TVL de DeFi continuait de grimper. Une baisse considérable a également été constatée dans la perte médiane par incident, qui est passée de 6 millions de dollars en 2022 à 1,5 million de dollars en 2025, soit une baisse de 75 %.
Le nombre d’incidents uniques est en fait passé à 83 en 2025, ce qui signifie que davantage de piratages se produisent alors que chacun cause beaucoup moins de dégâts, ce à quoi est censé ressembler un domaine de la sécurité en pleine maturité.
Les ponts étaient la vulnérabilité déterminante en 2021 et 2022, et au cours de cette seule deuxième année, neuf exploitations de ponts ont entraîné des pertes de 1,9 milliard de dollars. Ces piratages ont véritablement été parmi les pires moments de la cryptographie, le pont Ronin représentant à lui seul une perte de 624 millions de dollars.
l’a suivi en chaîne alors que les fonds transitaient par Tornado Cash, suivi de Binance Bridge à 570 millions de dollars, Wormhole à 326 millions de dollars, Nomad à 190 millions de dollars, Harmony à 100 millions de dollars et Qubit à 80 millions de dollars.
Il représentait 73 % de toutes les pertes DeFi cette année-là, et en 2025, la part du pont s’était effondrée à 3 %, grâce à des mécanismes de vérification améliorés, des ensembles de validateurs décentralisés et une transition plus large vers la messagerie native inter-chaînes.
Les attaques de prêts flash ont suivi le même chemin. Ils représentaient 54 % de toutes les pertes en 2020 lorsqu’ils étaient la technique DeFi emblématique, et en 2025, ils représentaient moins de 1 %, car les protocoles ont adopté des défenses spécifiquement adaptées à cette attaque : prix moyens pondérés dans le temps, intégrations d’oracle Chainlink, gardes de réentrée et conceptions qui supposent qu’un attaquant peut manipuler les prix au sein d’une seule transaction atomique.
Les compromissions de clés privées ont connu une baisse similaire, passant de 28,7 % des pertes en 2022 à 8,1 % en 2025. Chacune de ces catégories a diminué pour la même raison sous-jacente, à savoir que l’industrie a reconnu un modèle reproductible et a construit une réponse standardisée à celui-ci, et comme l’a constaté l’examen de fin d’année 2025, ces réponses ont largement tenu.
Ce qui reste est plus difficile à défendre
L’élimination des attaques génériques a laissé derrière elle une catégorie beaucoup plus difficile : en 2025, 89,1 % des pertes DeFi provenaient d’exploits logiques de protocole, c’est-à-dire des failles au niveau du code spécifiques à la façon dont une application a été conçue. Un piratage de pont implique des hypothèses de confiance reconnaissables, et une attaque de prêt flash fait partie d’une famille connue de techniques, de sorte que les deux peuvent être défendues avec des modèles réutilisables.
Cependant, un bug de logique de protocole est spécifique par nature. Il émerge des choix particuliers de mathématiques, de contrôles d’accès ou de composabilité d’une base de code unique, ce qui rend difficile la défense systématique, car chaque instance est son propre puzzle et partage peu avec la précédente.
Le déploiement multi-chaînes est ce qui transforme l’un de ces bugs sur mesure en une crise à part entière. Le rapport d’ImmuneFi trace une ligne directe depuis l’incident multi-chaîne déterminant de 2021, l’exploit Poly Network d’environ 611 millions de dollars, jusqu’à Balancer en 2025.
Poly Network était un échec au point de connexion entre les systèmes, le genre de point d’étranglement créé par les ponts, tandis que Balancer était la même logique échouant de manière identique sur les réseaux partageant du code, des chemins de signataires et des hypothèses de vérification. Une fois qu’une chaîne fait partie de la carte de déploiement par défaut des principaux protocoles, elle absorbe la surface de risque de tout ce qu’elle héberge, quelle que soit la solidité de sa propre infrastructure.
Cela change la façon dont vous mesurez la sécurité d’un écosystème, et la méthode du rapport le montre en attribuant la totalité des pertes résultant d’un exploit multi-chaînes à chaque chaîne affectée, sur la base de la logique selon laquelle les participants des six réseaux ont été exposés au plein impact.
Le compromis est que les chiffres de piratage 2025 pour Polygon, OP Mainnet, Base et Sonic sont fortement influencés par la cascade Balancer. Le rapport élimine également entièrement les échecs d’échange centralisés, c’est pourquoi le plus grand vol de l’année, le piratage Bybit de 1,5 milliard de dollars que le FBI a attribué à la Corée du Nord, est considéré comme un échec de garde plutôt qu’un échec de protocole.
Sur la base des pertes par TVL, le niveau le plus sûr parmi les principaux écosystèmes était Ethereum à environ 0,42 %, Solana à 0,42 % et BNB Chain à 0,33 %, les trois plus grands écosystèmes DeFi en termes de valeur verrouillée, ce qui suggère que l’échelle et la sécurité se sont améliorées ensemble plutôt qu’aux dépens l’une de l’autre.
Bien que ces changements soient bien meilleurs pour le protocole moyen, ils ne sont pas aussi bons pour l’utilisateur moyen. Une perte peut désormais se produire dans une application qui comporte une faille importée d’ailleurs, et la commodité qui rend les applications multi-chaînes attrayantes est ce qui fait que cette erreur passe d’une erreur locale à une erreur partagée.
Crypto a créé toutes ces chaînes distinctes en partie pour éviter de dépendre d’un seul système, et l’ironie est que l’exécution de la même poignée de protocoles populaires sur chacune d’entre elles a reconstruit la concentration à laquelle ces chaînes étaient censées échapper.
Le prochain grand incident peut paraître minime le jour où il survient (un seul bug logique dans un protocole largement déployé), mais il ne révélera sa véritable ampleur que lorsque les gens se rendront compte que le même code vulnérable était présent sur une demi-douzaine de réseaux en permanence.
