Incidents de sécurité

D’après TRM Labs, des acteurs nord-coréens ont extrait environ 577 millions de dollars au cours des quatre premiers mois de 2026, ce qui représente 76% de toutes les pertes mondiales liées aux piratages de cryptomonnaies sur la période. Le vol découle de deux incidents d’avril : l’exploit de KelpDAO de 292 millions de dollars et le piratage de Drift de 285 millions de dollars

D’après TRM Labs, des acteurs nord-coréens ont extrait environ 577 millions de dollars au cours des quatre premiers mois de 2026, soit 76 % de toutes les pertes mondiales liées aux piratages de cryptomonnaies pendant la période. Les pertes proviennent de deux incidents d’avril : l’exploit de KelpDAO d’une valeur de 292 millions de dollars et l’exploit de Drift Pr

Deux semaines après le piratage du pont inter-chaînes rsETH le 18 avril, Kelp a achevé sa mise à niveau le 29/4 : validateurs le 4/4, confirmations de blocs 64, topologie en hub-and-spoke, et les messages inter-chaînes doivent passer par relais via le réseau principal Ethereum. ether.fi a également simultanément renforcé weETH et ajouté un don de 5 000 ETH à DeFi United. DeFi United a mobilisé plus de 70 000 ETH de fonds de secours ; les taux d’intérêt des marchés comme Aave ont nettement baissé ; toutefois, l’attaquant détient encore environ 107 000 rsETH en attente de liquidation, nécessitant un processus de gouvernance et de type comité pour récupérer.

Le protocole de produits dérivés DeFi Wasabi Protocol, le 30/4, a subi une fuite de clé privée d’administrateur : l’attaquant a obtenu le ADMIN_ROLE via le Deployer EOA, puis a remplacé les perp vaults et LongPool par des versions malveillantes en utilisant le mécanisme de mise à niveau UUPS, permettant des retraits directs. CertiK estime la perte à environ 2,9 millions de dollars. L’impact concerne le réseau Ethereum principal et Base. Wasabi a déjà annoncé la suspension des interactions, et Virtuals Protocol a également gelé les garanties liées à Wasabi. Cet incident met en évidence le risque que la sécurité des clés privées en amont fait peser sur l’écosystème en aval.

D’après BlockBeats, WasabiCard a publié une déclaration de sécurité le 30 avril, précisant qu’il n’a aucune affiliation avec Wasabi Protocol, Wasabi Wallet ou des projets et institutions connexes. La plateforme s’associe à Safeheron pour les services de portefeuille de garde et collabore avec un auditeur de sécurité

D’après le Département américain de la Justice, la force de travail mondiale dirigée par le FBI a arrêté 276 suspects et a démantelé neuf centres d’arnaques crypto mercredi. La police de Dubaï a arrêté 275 personnes, dont trois inculpées en Californie pour des chefs de fraude électronique et de blanchiment d’argent. Les autorités thaïlandaises ont arrêté un suspect

D'après PeckShield, Blockaid et CertiK, la plateforme de dérivés décentralisés Wasabi Protocol a été exploitée pour plus de 5 millions de dollars lors d'une attaque coordonnée s'étendant sur Ethereum, Base, Berachain et Blast. La faille est due à une clé admin compromise plutôt qu'à une vulnérabilité du smart contract.

D’après la Sui Foundation et les développeurs de Scallop, le protocole de prêt Scallop sur le réseau Sui a subi une faille de sécurité ciblée le 28 avril 2026, entraînant le drainage non autorisé d’environ 150 000 jetons SUI depuis un pool de liquidité de récompenses, d’une valeur d’environ 140 000 dollars.

D’après DefiLlama, les piratages dans la DeFi et l’infrastructure on-chain ont entraîné 624,58 millions de dollars de pertes en avril 2026, soit la sixième plus importante perte mensuelle enregistrée. Les 23 incidents recensés ce mois-là représentent aussi le plus grand nombre d’attaques en un seul mois depuis le début du suivi en

Des acteurs nord-coréens ont extrait environ 577 millions de dollars au cours des quatre premiers mois de 2026, représentant 76 % de toutes les pertes mondiales liées aux piratages de cryptomonnaies sur la période, selon la société d’intelligence blockchain TRM Labs. Le vol a été alimenté par deux importants incidents d’avril : le vol de 292 millions de dollars KelpDAO

Selon le RSSI en chef de SlowMist, @23pds, qui a publié sur X le 30 avril, une faille logique nommée « Copy Fail » (CVE-2026-31431) a été détectée dans les systèmes Linux. Elle est extrêmement facile à exploiter et SlowMist recommande aux utilisateurs de mettre rapidement à niveau le noyau.

D’après l’analyse technique de l’incident publiée par GoPlus le 30 avril et la déclaration officielle d’Aftermath Finance, la plateforme de contrats à terme perpétuels sur la chaîne Sui Aftermath Finance a été attaquée le 29 avril, avec des pertes dépassant 1,14 million de dollars. Le projet a annoncé que, avec le soutien de Mysten Labs et de la Sui Foundation, tous les utilisateurs seront intégralement indemnisés.

Selon PANews, Aftermath Finance, une plateforme de futures perpétuels sur la blockchain Sui, a perdu plus de 1,14 million de dollars lors d’une attaque le 29 avril. L’analyse de GoPlus a révélé que les attaquants ont exploité une vulnérabilité de non-correspondance de symbole dans la fonction calculate_taker_fees en volant des privilèges ADMIN via la fonction add_integrator_config afin d’extraire à répétition des tokens via le vol.

Selon le rapport post-incident publié après l’attaque contre le protocole SWEAT, les fonds des utilisateurs qui ont été dérobés lors de l’incident de sécurité survenu le mercredi ont été entièrement restaurés, et l’exploitation du protocole a repris son fonctionnement normal. La société de sécurité cryptographique Blockaid estime que l’attaquant a volé environ 13,71 milliards de tokens SWEAT ; l’équipe SWEAT a rapidement mis en pause le contrat de jetons, et a contacté les bourses ainsi que le fournisseur de liquidité Rhea Finance, avant de finalement restaurer tous les soldes de comptes des utilisateurs.

Selon la déclaration officielle de Polymarket, la plateforme de marché de prédiction a démenti de récentes allégations selon lesquelles elle aurait subi une violation de données, en indiquant que les informations en circulation concernent des points de terminaison d’API publiques et des données de blockchain on-chain. Un pirate utilisant le pseudonyme "xorcat" a affirmé avoir

L’Autorité monétaire de Hong Kong (HKMA) a émis un avertissement public le 28 avril concernant des jetons numériques frauduleux circulant sous les noms de deux nouveaux émetteurs de stablecoins nouvellement agréés. Des jetons portant les tickers "HKDAP" et "HSBC" sont apparus sur le marché sans autorisation d’Anchorpoint Financial Limited ou de The Hongkong and Shanghai Banking Corporation Limited, dont les deux ont reçu les premières licences d’émetteur de stablecoins de Hong Kong le 10 avril. HSBC a confirmé n’avoir aucun lien avec des jetons utilisant actuellement son nom et a précisé que son stablecoin libellé en dollars de Hong Kong, prévu, reste en cours de préparation en vue d’un lancement au second semestre 2026. Une fois publié, le produit sera disponible exclusivement via PayMe et l’application HSBC HK Mobile Banking. Anchorpoint a également confirmé qu’elle n’a publié aucun produit de stablecoin au public.

Selon Bitcoin.pl, des données clients provenant de l’échange polonais en faillite Zondacrypto auraient été proposées à la vente sur le darknet, avec deux lots disponibles. Le plus petit lot, contenant des adresses e-mail et des données d’identification de base, est proposé à environ 550 euros, tandis que le lot le plus important—y compris