Le nombre des vols a reculé au troisième trimestre, mais le terrain de jeu a changé. Les pertes totales liées aux hacks sont passées de 803 millions de dollars au T2 à 509 millions au T3, soit une baisse de 37%.
Par rapport au T1, proche de 1,7 milliard, la décrue dépasse 70%. En revanche, septembre a enregistré un record de 16 incidents supérieurs au million de dollars, signe que la fréquence des gros cas ne faiblit pas.
Par Emmanuel Roux
Dernière mise à jour
4 mins lecture
Surtout, la nature des attaques évolue. Moins de failles de code pur, davantage de compromissions opérationnelles et de wallets, avec un ciblage opportuniste des usages les plus courants sur mobile et desktop.
La tendance la plus nette du trimestre, c’est le glissement des attaques des smart contracts vers les points de contact utilisateur.
CertiK recense une chute des pertes liées aux vulnérabilités de code, de 272 millions au T2 à 78 millions au T3, tandis que les compromissions de comptes et l’ingénierie sociale restent élevées.
Sur Android, une faille dans des projets Unity datés permettrait d’injecter du code dans certains jeux, ouvrant la voie à des overlays, à la capture d’entrée et à du screen scraping.
Google a indiqué ne pas avoir détecté d’app malveillante exploitant la faille sur Play à ce stade, tout en pressant les studios de publier des correctifs et les joueurs de mettre à jour.
Crypto gamers, beware!
>A serious Unity Android vulnerability could let attackers inject malicious code into mobile games & drain your wallets
>Google has confirmed the issue and Unity is working on a fix.What you can do to keep your crypto wallets safe:
>Update Unity-based… pic.twitter.com/Sz64JglDEY— Neeraj Khandelwal (@neerajKh_) October 3, 2025
Cette bascule se voit aussi dans les arnaques d’écosystème. Les campagnes de faux supports techniques, QR piégés et sites miroir se multiplient pour voler des seed phrases ou détourner des transactions.
Ici, la bonne hygiène fait la différence : appareils séparés pour le jeu et la gestion d’actifs, mises à jour rapides, refus du sideloading d’APK, permissions limitées aux apps critiques.
L’amélioration du durcissement des protocoles commence à payer. Les pertes liées aux failles logicielles baissent, aucun méga-hack à 9 chiffres n’a été recensé au T3, et certains cas emblématiques se sont soldés par un retour des fonds, comme le hack de GMX v1 finalement remboursé après négociation d’une prime.
Le constat rejoint celui d’autres panoramas 2025 qui décrivent une année en deux temps : hécatombe en début d’exercice, puis reflux progressif au fur et à mesure que les équipes durcissent leurs process de déploiement et de revue. Le résultat net du T3 reste toutefois ambigu.
Les montants baissent, mais l’efficacité des attaques ciblant l’utilisateur final oblige plateformes et particuliers à renforcer l’opérationnel pur : gestion des clés, séparation des environnements, recours à du multi-signature et adoption de passkeys.
Autre signal fort du trimestre, la facture la plus lourde provient des plateformes centralisées, avec 182 millions dérobés, devant la DeFi à 86 millions. Les attaquants visent hot wallets et procédures internes via phishing, accès privilégiés et détournement d’outils métiers.
Côté chaînes émergentes, la fin de trimestre a été secouée par une série d’incidents sur l’écosystème Hyperliquid, entre rug pull présumé et hack opérationnel.
Le money market Hyperdrive a confirmé un vol d’environ 700 000 dollars et mis ses marchés en pause, le temps d’isoler la faille d’autorisations qui a permis d’appeler des contrats whitelistes via le routeur.
HYPERDRIVE UPDATE:
We are aware of the recent issues affecting the Hyperdrive protocol. At this time, we are able to confirm that the issues affect only two markets: the Primary USDT0 Market and the Treasury USDT Market.
An investigation is currently ongoing, and we are working…
— Hyperdrive (@hyperdrivedefi) September 28, 2025
Dans la même veine, HyperVault a vu des sorties suspectes d’environ 3,6 millions bridgées vers Ethereum avant d’être swapées puis blanchies via Tornado, pendant que le site et le compte X disparaissaient. Ces épisodes rappellent que la vigilance ne s’arrête pas au code.
Elle inclut en effet l’examen des droits d’opérateur, des mécanismes de liste blanche, des processus de révocation et du circuit des clés.
Côté utilisateurs, cinq réflexes. Mettre à jour sans traîner les jeux et apps basés sur Unity et éviter les APK hors stores officiels, car ils ne reçoivent pas les correctifs ni les scans de Play Protect.
Activer l’isolement des risques : un appareil pour les loisirs, un autre pour les fonds, ou a minima des profils utilisateurs distincts. Durcir l’authentification avec passkeys et U2F, et supprimer toute extension d’accessibilité ou overlay non indispensable.
Mettre en place du multisig pour les montants significatifs, avec des seuils d’approbation et des allowlists d’adresses.
Enfin, pratiquer l’hygiène des connexions : signer uniquement ce que l’on comprend, refuser les imports de seed via sites tiers, et contrôler régulièrement l’historique d’autorisations sur les wallets et dapps.
Pour les plateformes, la priorité est donc à l’opérationnel. Journalisation renforcée, séparation stricte des rôles, rotation des clés, simulation régulière de scénarios d’abus d’autorisations, politique de bounties crédible, et procédures publiques de remboursement en cas d’incident.
Les chiffres du T3 disent que le code est moins facile à casser. Les humains, eux, restent attaquables.
À lire aussi :
Issu de la finance traditionnelle, j’ai naturellement basculé vers l’univers crypto, attiré par son potentiel. Je souhaite y apporter mon approche analytique et rationnelle, tout en conservant ma curiosité. En dehors de l’écran, je lis beaucoup (économie, essais, un peu de science-fiction) et je prends plaisir à bricoler. Le DIY, pour moi, c’est comme la crypto : comprendre, tester, construire soi-même.