Les pertes de sécurité Web3 ont augmenté en 2025, alors que les attaquants se tournent vers moins d’incidents et plus importants

• Les pertes de 2025 ont augmenté de 37 % malgré moins d’incidents, causées par un petit nombre d’exploits à fort impact.
• Les attaques de chaîne d’approvisionnement et de phishing ont causé la majorité des pertes de sécurité Web3.
• Ethereum et les plateformes cross-chain sont restées des cibles principales pour des attaques à grande échelle.

Le réseau Web3 a connu des pertes de sécurité plus importantes en 2025, malgré une baisse du nombre d’incidents par rapport à l’année précédente, selon les données du rapport de sécurité Skynet Hack3D de CertiK. Les résultats révèlent un scénario de menace croissant, caractérisé par des attaques limitées et à fort impact plutôt que par des exploits généralisés et de faible valeur, ce qui reflète un changement dans la stratégie des attaquants à mesure que l’activité en chaîne rebondit.

L’activité Web3 s’est accélérée en 2025 grâce à un sentiment positif du marché, un regain de liquidité et un environnement politique plus accommodant aux États-Unis. Les applications décentralisées se sont étendues aux paiements, au jeu, aux actifs réels tokenisés et aux cas d’usage d’identité.

Cependant, cette croissance a également élargi la surface d’attaque, les acteurs malveillants se concentrant sur la gestion de clés privées, les systèmes d’authentification et les contrôles d’accès sur des plateformes à forte valeur.

Les pertes totales dues aux piratages, arnaques et exploits ont atteint 3,35 milliards de dollars en 2025, contre 2,45 milliards en 2024, soit une augmentation d’environ 37 %. Un seul incident de chaîne d’approvisionnement chez Bybit a causé environ 1,45 milliard de dollars de ces pertes.

Moins d’incidents, impact financier plus important

La perte moyenne par incident est montée à 5,32 millions de dollars en 2025, soit une augmentation de 66,6 % par rapport à l’année précédente, tandis que la perte médiane est tombée à 103 996 dollars. Cet écart suggère que, bien que de nombreux incidents soient restés relativement mineurs, un nombre limité d’attaques ont causé des dégâts disproportionnés.

Février a été le mois le plus coûteux, avec 1,54 milliard de dollars perdus sur 58 incidents, principalement à cause de l’exploit Bybit. Les pertes ont culminé au premier trimestre à 1,67 milliard de dollars sur 200 incidents, avant de diminuer d’environ 52 % au trimestre suivant à mesure que les mesures de surveillance et de réponse s’amélioraient.

Vecteurs d’attaque des leads dans la chaîne d’approvisionnement et le phishing

Les ruptures dans la chaîne d’approvisionnement ont été le vecteur d’attaque le plus dommageable en 2025, entraînant des pertes de 1,45 milliard de dollars sur seulement deux incidents. Ces attaques impliquaient souvent des dépendances de développement, des pipelines CI/CD et des intégrations de portefeuilles. Le phishing a représenté le plus grand nombre d’incidents, avec 248 cas entraînant des pertes de 722,9 millions de dollars, dépassant légèrement en fréquence les exploits de vulnérabilité de code.

Ethereum et les cibles cross-chain dominent les pertes

Ethereum a connu le plus grand nombre d’incidents, avec 310 événements ayant entraîné des pertes de 1,70 milliard de dollars. Les incidents liés au Bitcoin ont totalisé 528,2 millions de dollars sur 22 cas. Les attaques touchant plusieurs blockchains ont représenté 460,8 millions de dollars sur 29 incidents, mettant en lumière les risques persistants liés à l’infrastructure cross-chain.

Dans l’ensemble, les données de 2025 montrent que les risques de sécurité du Web3 proviennent principalement d’opérations ciblées et complexes plutôt que de campagnes d’exploitation à grande échelle, remodelant la manière dont les pertes s’accumulent dans l’écosystème.

En lien : Ethereum lance Kohaku, un SDK de confidentialité open source pour les portefeuilles Web3