Points clés
- La blockchain elle-même n'a jamais été piratée. Presque tous les vols de crypto se produisent via les personnes et les systèmes qui l'entourent : portefeuilles, interfaces, plateformes d'échange et erreurs humaines.
- Les hackers n'ont pas besoin de casser le chiffrement. Il leur suffit de votre clé privée ou de votre phrase secrète, et il existe de nombreuses façons de l'obtenir sans toucher à la moindre ligne de code.
- Le phishing est de loin la méthode d'attaque la plus courante. Les faux sites web, les approbations de transactions malveillantes et l'usurpation d'identité générée par IA représentent désormais une part énorme des pertes individuelles.
- Le SIM swapping permet aux attaquants de détourner votre numéro de téléphone et de contourner l'authentification à deux facteurs.
- Les bugs des contrats intelligents et les piratages de plateformes font souvent la une, mais la majorité des pertes de 2025 proviennent de clés privées compromises et d'ingénierie sociale, et non d'exploits de code.
- Si vos fonds sont volés, les 48 premières heures constituent la fenêtre la plus importante. Des sociétés comme Match Systems peuvent retracer les fonds volés à travers les chaînes et travailler directement avec les plateformes pour geler des actifs, mais seulement si le processus commence assez tôt.
Dans cet article
- Pourquoi les crypto sont volées : la vraie raison
- Phishing et ingénierie
- sociale
- Vol de clés privées et de
- phrases secrètes
- SIM swapping
- Exploits de contrats intelligents
- Piratages de plateformes et de dépositaires
- Que faire si vous avez été ciblé
- FAQ
Pourquoi les crypto sont volées : la vraie raison
Il existe une idée reçue tenace selon laquelle le vol de crypto serait un problème de cryptographie : que, quelque part, un mathématicien a cassé un algorithme ou trouvé une faille dans la conception de la blockchain. Cette idée est fausse, et cela compte, car elle amène les gens à mal placer leurs défenses.
Le code de la blockchain ne se fait pas pirater. Les clés privées, les phrases secrètes et les humains, si.
L'accès à un portefeuille crypto ne requiert qu'une seule chose : la clé privée qui le contrôle. Cette clé existe quelque part : dans un fichier, dans une extension de navigateur, écrite sur papier, mémorisée. Et où qu'elle se trouve, elle peut être volée sans toucher à une seule ligne de code de la blockchain. La plupart des méthodes d'attaque que nous observons dans nos enquêtes ressemblent davantage à de la fraude classique qu'à quelque chose de technique : tromperie, usurpation, manipulation.
L'ampleur du phénomène le confirme. Le rapport 2025 du FBI sur la criminalité sur Internet a recensé 181 565 plaintes pour fraude aux cryptomonnaies émanant d'Américains, pour un total de plus de 11 milliards de dollars de pertes. Le chiffrement a tenu, mais tout ce qui l'entourait, non.
Phishing et ingénierie sociale
Le phishing est le point d'entrée dans davantage de cas de vol de crypto que toute autre méthode. Ce n'est pas le vecteur le plus destructeur par incident, mais c'est de loin le plus courant, et il devient de plus en plus difficile à repérer.
Le mécanisme fondamental n'a pas changé : amener la victime à livrer ses identifiants, à signer quelque chose qu'elle ne devrait pas, ou à saisir sa phrase secrète quelque part sous le contrôle de l'attaquant. Ce qui a changé, c'est la qualité de la tromperie.
Un schéma que nous observons à répétition est la fausse interface de portefeuille. Un utilisateur cherche MetaMask ou Ledger Live, arrive sur un site identique au vrai et saisit sa phrase secrète pour « restaurer » son portefeuille. La phrase est récoltée en temps réel. Le temps qu'il réalise ce qui s'est passé, les fonds sont déjà en mouvement.
Une variante techniquement plus sophistiquée que nous avons observée est la transaction d'approbation malveillante. Dans la DeFi, presque chaque interaction avec un protocole nécessite de signer une approbation de jetons : une autorisation qui permet à un contrat intelligent de dépenser vos jetons. Les attaquants construisent de faux sites DeFi qui demandent des approbations illimitées. La victime signe ce qui ressemble à une transaction de routine. Le contrat de l'attaquant vide le portefeuille à sa guise, parfois des heures ou des jours plus tard.
L'IA a complètement changé l'économie de tout cela. L'IC3 du FBI a noté dans son rapport 2025 que les deepfakes, les clonages de voix et les personnages scénarisés par IA sont désormais des outils standard pour l'ingénierie sociale à grande échelle. Plus de 22 000 plaintes en 2025 impliquaient une fraude facilitée par IA, pour des pertes dépassant 893 millions de dollars — et cela rien qu'aux États-Unis. La barrière pour mener une campagne convaincante s'est effectivement effondrée.
Vol de clés privées et de phrases secrètes
Si le phishing génère le plus d'incidents, le vol de clés privées et de phrases secrètes cause le plus de dommages par cas. Une phrase secrète est la clé maîtresse de tout ce que contient un portefeuille. Il n'existe aucun processus de récupération ni aucune escalade auprès d'un service client, à moins qu'une enquête professionnelle ne soit ouverte rapidement.
Comme nous l'avons constaté dans notre travail, la plupart des victimes ne réalisent malheureusement pas combien de surfaces exposent leur phrase secrète. Les logiciels malveillants de type infostealer recherchent les phrases stockées dans des fichiers texte, des extensions de navigateur et des captures d'écran. De fausses applications de portefeuille génèrent une phrase pour l'utilisateur, puis la transmettent discrètement à l'attaquant. Les sauvegardes dans le cloud (iCloud, Google Photos) transforment la photo d'une phrase écrite à la main en une cible accessible à distance.
Du point de vue du traçage, les vols de phrases secrètes sont souvent les cas les plus faciles à identifier et les plus difficiles à récupérer. La transaction du vol est instantanée et totale. Le temps que la victime nous contacte, les fonds ont généralement déjà transité par plusieurs portefeuilles. Environ 70 % des fonds crypto volés ces dernières années remontent à une forme d'exposition de la phrase secrète, ce qui signifie que la majorité des cas que nous voyons étaient évitables.
Le piratage de Bybit de février 2025 est particulièrement instructif : 1,5 milliard de dollars en une seule opération, le plus grand vol de crypto de l'histoire. Les attaquants n'ont pas exploité un bug de contrat intelligent. Ils ont mené une opération d'ingénierie sociale contre un signataire interne du portefeuille multisignature Safe de Bybit, compromis la clé privée et vidé 400 000 ETH en quelques minutes. Ce qui a été violé, ce n'était pas le périmètre de la plateforme, mais la couche humaine.
SIM swapping
D'après notre expérience, la plupart des victimes de SIM swapping ne réalisent que l'attaque a commencé que lorsque leur téléphone perd le signal. À ce moment-là, l'attaquant a déjà reçu leurs codes de vérification par SMS et réinitialise les mots de passe de leurs comptes sur les plateformes d'échange.
La méthode ne demande aucune compétence technique. L'attaquant rassemble des données personnelles (nom, adresse, les quatre derniers chiffres d'un numéro de sécurité sociale, par exemple) à partir de fuites de données ou de profils sur les réseaux sociaux. Il appelle l'opérateur mobile de la victime, se fait passer pour elle, prétend que le téléphone a été perdu ou volé et demande le transfert du numéro vers une nouvelle carte SIM. Un agent du service client, sous pression pour traiter les appels rapidement, devient le maillon faible.
Une fois le numéro détourné, l'authentification à deux facteurs par SMS est inutile. Chaque code parvient à l'attaquant. À partir de là, il réinitialise le compte e-mail, puis le compte sur la plateforme, et retire tout ce qui est disponible.
L'ampleur a fortement augmenté. Le rapport IC3 2024 du FBI a recensé 28,4 millions de dollars de pertes crypto documentées aux États-Unis, spécifiquement attribuées au SIM swapping. En mars 2025, un tribunal d'arbitrage américain a condamné T-Mobile à verser 33 millions de dollars après qu'un seul SIM swap eut vidé les avoirs en cryptomonnaies d'un client.
En octobre 2025, Europol a démantelé l'opération SIMCARTEL — un réseau basé en Lettonie qui fournissait une infrastructure de cartes SIM à des fraudeurs dans 80 pays, prenant en charge plus de 49 millions de faux comptes utilisés pour contourner l'authentification à deux facteurs sur les plateformes d'échange de crypto, les banques numériques et les plateformes sociales.
Exploits de contrats intelligents
Les exploits de contrats intelligents sont ce que la plupart des gens imaginent en entendant « piratage crypto ». Ils sont réels, ils sont destructeurs et ils exigent une véritable sophistication technique, ce qui explique précisément qu'ils soient moins courants que les méthodes décrites plus haut.
Le principe de base : les contrats intelligents sont du code ; le code comporte des bugs ; les bugs peuvent être exploités pour vider les fonds que le contrat détient. L'attaquant n'a besoin de la clé privée de personne : il trouve une faille dans la logique et l'utilise directement contre le protocole.
Voici les variantes que nous rencontrons le plus souvent dans nos enquêtes :
- Attaques par réentrance : le contrat est manipulé pour effectuer des retraits répétés avant de mettre à jour ses registres de solde. Le piratage de The DAO a inauguré cette méthode en 2016. Elle fonctionne encore lorsque les contrats ne sont pas écrits avec soin.
- Manipulation d'oracles : les protocoles s'appuient sur des flux de prix provenant d'oracles externes. Un attaquant capable de déplacer temporairement les prix sur un DEX peu liquide peut tromper un protocole de prêt pour qu'il libère bien plus qu'il ne le devrait.
- Failles de logique : erreurs de conception dans la gestion des cas limites. L'exploit de mai 2025 sur le DEX Cetus sur Sui (223 millions de dollars) a impliqué des jetons falsifiés qui ont abusé d'une faille dans la manière dont le protocole calculait les positions de liquidité.
- Défaillances de contrôle d'accès : des fonctions d'administration qui ne sont pas correctement restreintes. Lorsqu'elles sont exploitées, les attaquants peuvent émettre des jetons en quantité illimitée, vider des trésoreries ou modifier entièrement la propriété du contrat.
Un schéma à noter : les exploits de contrats intelligents sont de plus en plus précédés d'audits qui ont manqué la vulnérabilité. Un protocole est audité, lancé, puis vidé précisément par le type de cas limite que les audits sont censés détecter.
Piratages de plateformes et de dépositaires
Les plateformes d'échange centralisées sont les cibles de plus grande valeur de l'écosystème. Elles conservent les fonds des utilisateurs dans des portefeuilles chauds qui doivent rester connectés à Internet pour les opérations quotidiennes. Une seule brèche réussie peut rapporter des centaines de millions. Les attaquants le savent et investissent en conséquence.
La surface d'attaque est plus large que ne le réalisent la plupart des utilisateurs. Cela inclut les campagnes de phishing visant le personnel du support client, les identifiants d'administrateur compromis, les employés malveillants, les intégrations tierces vulnérables et le vol de clés d'API. Dans de nombreux cas que nous enquêtons impliquant des pertes au niveau d'une plateforme, la brèche technique était secondaire par rapport à une étape d'ingénierie sociale qui l'a précédée.
Les ponts inter-chaînes (cross-chain bridges) méritent une attention particulière. Ce sont des infrastructures critiques, car ils permettent de déplacer des actifs entre blockchains, et ils sont structurellement complexes de manières qui introduisent de nouvelles surfaces d'attaque : petits ensembles de validateurs, clés d'administration privilégiées, logique complexe gérant plusieurs types d'actifs. Un exploit de pont en 2025 impliquant une faille dans la conception des validateurs a entraîné 700 millions de dollars de pertes. Les ponts restent l'une des catégories les plus régulièrement exploitées du secteur.
Bybit est l'exemple récent le plus clair de la façon dont ces attaques se déroulent réellement. Les attaquants ont vidé 401 000 ETH de portefeuilles multisignatures basés sur Safe sur Ethereum et Arbitrum. Les fonds ont été fragmentés sur des dizaines de nouvelles adresses et déplacés via des ponts et des services de mixage en quelques heures. Le temps que la plateforme confirme publiquement la brèche, le blanchiment avait déjà commencé.
Les méthodes d'attaque en un coup d'œil
|
Type d'attaque |
Cible principale |
Ampleur en 2025 |
Défense clé |
|
Phishing et ingénierie sociale |
Utilisateurs individuels |
132+ incidents, 410M+ de dollars au 1er semestre 2025 |
Vérifiez les URL ; ne partagez jamais votre phrase secrète |
|
Vol de phrase secrète / clé privée |
Portefeuilles individuels |
1,71 Md de dollars — 69 % des pertes du 1er semestre en valeur |
Portefeuille matériel ; sauvegarde hors ligne uniquement |
|
SIM swapping |
Comptes sur plateformes d'échange |
Hausse de 1 055 % au Royaume-Uni ; 26M+ de dollars de pertes aux États-Unis (2024) |
Remplacez le 2FA par SMS par une application d'authentification |
|
Exploits de contrats intelligents |
Protocoles DeFi |
25 incidents, 11,1M de dollars en moyenne chacun (2025) |
Contrats audités ; utilisez des protocoles établis |
|
Piratages de plateformes / dépositaires |
Portefeuilles chauds des CEX |
1,5 Md de dollars pour Bybit seul (fév. 2025) |
Stockage non dépositaire pour les avoirs importants |
Que faire si vous avez été ciblé
Le premier réflexe de la plupart des victimes est de continuer à essayer d'accéder à leur portefeuille, de contacter le service client de la plateforme ou de chercher de l'aide sur des forums. Aucune de ces actions n'est le bon premier geste.
Les attaquants agissent vite. Dans des cas que nous avons enquêtés, les fonds volés ont été transférés vers une autre chaîne dans les 15 minutes suivant le vol. En une heure, ils étaient passés par trois ou quatre portefeuilles intermédiaires. En 12 heures, ils avaient atteint un bureau OTC ou un mixeur. Chaque étape rend la récupération plus difficile. Chaque heure qui passe sans qu'un spécialiste ne soit impliqué réduit la fenêtre.
Les priorités immédiates :
- Notez le hash de la transaction du vol et l'adresse du portefeuille de l'attaquant avant toute autre chose. C'est le point de départ de toute enquête.
- N'envoyez aucun fonds supplémentaire à une adresse prétendant offrir une aide à la récupération. Les arnaques de suivi visant les victimes de vol sont extrêmement courantes, et elles fonctionnent, parce que les victimes sont désespérées.
- Contactez une société spécialisée avant de déposer une plainte auprès de la police lorsque c'est possible. La coopération des plateformes avance plus vite par des canaux directs d'enquêteurs que par des demandes officielles des forces de l'ordre, qui peuvent prendre des semaines.
- Si le vol impliquait un SIM swap, verrouillez immédiatement votre compte mobile auprès de votre opérateur et révoquez le 2FA par SMS sur tous les comptes liés.
- Si les fonds volés comprenaient des stablecoins comme l'USDT ou l'USDC, contactez une société capable de se coordonner avec les forces de l'ordre pour demander un gel à l'émetteur. Tether et Circle peuvent geler des adresses spécifiques à la demande des autorités, mais seulement tant que les fonds sont encore en place.
La plupart des victimes qui récupèrent une partie de leurs fonds y parviennent parce qu'elles ont agi dans les 24 à 48 premières heures. La plupart de celles qui ne récupèrent rien ont attendu trop longtemps, tenté des approches de récupération amateurs, ou contacté les mauvaises personnes en premier.
FAQ
Les cryptomonnaies volées peuvent-elles réellement être récupérées ?
Oui, dans de nombreux cas, en particulier lorsque le vol est signalé rapidement et que les fonds sont retracés avant d'atteindre une juridiction non coopérative ou d'être entièrement convertis. La récupération est plus probable lorsque des stablecoins sont impliqués, car les émetteurs peuvent geler des adresses spécifiques à la demande des forces de l'ordre. Match Systems travaille à la fois avec les plateformes et les forces de l'ordre pour soutenir ce processus. Aucune société légitime ne garantit la récupération, mais une action précoce améliore considérablement les chances.
Les portefeuilles matériels empêchent-ils le vol ?
Ils réduisent considérablement la surface d'attaque en gardant les clés privées hors ligne. Mais ils n'éliminent pas le risque. Le phishing, le vol physique et l'exposition de la phrase secrète restent des menaces quel que soit le type de portefeuille. Un portefeuille matériel est le bon outil pour sécuriser des avoirs importants — ce n'est pas un substitut à la compréhension du paysage des menaces.
La DeFi est-elle plus risquée que l'utilisation d'une plateforme d'échange centralisée ?
Elles comportent des risques différents. La DeFi vous expose aux bugs des contrats intelligents et au phishing par approbation, mais vous conservez la garde de vos fonds. Les plateformes centralisées sont plus pratiques mais introduisent un risque de dépositaire : si la plateforme est piratée, votre recours dépend entièrement de leur assurance et de leurs réserves. Aucune n'est catégoriquement plus sûre.
Qu'est-ce qu'une transaction d'approbation malveillante ?
Les interactions DeFi nécessitent de signer des approbations de jetons — des autorisations qui permettent à un contrat de dépenser vos jetons. Les attaquants construisent de faux sites DeFi qui demandent des approbations illimitées. Une fois signé, leur contrat peut vider votre portefeuille à tout moment. Auditez et révoquez régulièrement les anciennes approbations.
Comment les enquêteurs retracent-ils les fonds après un vol ?
Les enquêteurs cartographient le graphe des transactions depuis l'adresse du vol, à travers les portefeuilles intermédiaires, jusqu'aux adresses de dépôt des plateformes. Lorsque les fonds atteignent une plateforme vérifiée par KYC, un avis juridique est envoyé à l'équipe de conformité de la plateforme. Match Systems combine ce traçage sur la blockchain avec des relations établies avec les plateformes, ce qui fait que le processus de signalement des fonds avance nettement plus vite qu'une demande standard des forces de l'ordre.
Dans les enquêtes sur les vols de crypto, le temps compte plus que la plupart des victimes ne le réalisent.
Une fois que les fonds sont transférés entre chaînes, mixés ou retirés via des canaux OTC, la récupération devient nettement plus difficile. Match Systems travaille avec les plateformes d'échange, les émetteurs de stablecoins et les forces de l'ordre pour retracer les actifs volés et soutenir la récupération légale — avec une base de données propriétaire d'étiquetage d'adresses et des relations de conformité directes qui font passer les délais de semaines à jours.
Lancez une évaluation de votre cas : https://matchsystems.com
Populaires
- Articles Un utilisateur légitime peut voir son USDT gelé à cause de fonds au passé contaminé.
- Articles Peut-on récupérer les cryptomonnaies volées ?
- Actualités Arnaque au faux lien de réunion : comment la crypto est volée
- Actualités Sanctions contre HTX : risques pour les actifs crypto
- Actualités Tether a dégelé 79 M$ — et nous savons pourquoi
- Articles Crypto volée ? Les 60 premières minutes décident de ce qui est récupérable.
- Actualités Récupération de cryptoactifs via les réseaux OTC
- Articles Tether a gelé vos USDT : que se passe-t-il et que faire
- Articles Les portefeuilles crypto sont piratés via les appareils, les applis et l’erreur humaine, pas via la blockchain.
- Articles Peut-on identifier le propriétaire d'un portefeuille crypto ?
