En avril 2026, le marché crypto a subi 27 attaques pour un total de 627 millions de dollars volés. Deux incidents concentrent l’essentiel des dégâts : Drift Protocol sur Solana et KelpDAO sur Ethereum. Dans les deux cas, ce ne sont pas des failles dans le code qui ont tout fait basculer, mais des opérations d’infiltration méthodiques, menées sur plusieurs mois.
Pour résumer
• 27 hacks en avril 2026 pour 627 millions de dollars volés, pire mois depuis février 2025.
• Drift Protocol et KelpDAO représentent à eux seuls 95% des pertes du mois.
• Les deux attaques sont liées au Lazarus Group, le collectif de hackers nord-coréen.
Le mois le plus noir depuis plus d’un an
Les chiffres sont sans appel.
Avril 2026 s’achève avec 627 millions de dollars volés en DeFi sur 27 incidents distincts, selon les données de DefiLlama. C’est le pire bilan mensuel depuis le hack de Bybit en février 2025, qui avait coûté 1,4 milliard de dollars à l’industrie.
Pour saisir l’ampleur du choc, il suffit de comparer avec le premier trimestre. Les trois premiers mois de 2026 avaient cumulé 165,5 millions de dollars de pertes. Avril seul représente 3,7 fois ce total, en seulement 18 jours d’attaques actives.
La tendance annuelle est tout aussi préoccupante. Sur les quatre premiers mois de 2026, la DeFi a enregistré 47 incidents, contre 28 sur la même période en 2025, soit une hausse d’environ 68 % d’une année sur l’autre. Le total annuel atteint déjà 771,8 millions de dollars, et l’année est loin d’être terminée.
Drift et KelpDAO : deux attaques, une même méthode
Deux attaques concentrent 95% des pertes d’avril. Et elles partagent une caractéristique commune : aucune des deux n’a exploité un bug dans le code.
Le 1er avril, Drift Protocol, la plus grande plateforme de futures perpétuels sur Solana, perd 285 millions de dollars. L’attaquant n’a pas forcé les portes. Il s’est introduit par la confiance.
Pendant des mois, un groupe s’est déguisé en société de trading quantitatif légitime pour infiltrer le cercle de confiance de l’équipe. En manipulant les signatures du conseil de sécurité lors d’une migration de contrat qui avait temporairement supprimé les délais de protection, le protocole s’est vidé en moins de 20 minutes.
Le 18 avril, c’est KelpDAO qui est frappé. Les attaquants exploitent le bridge LayerZero V2 du protocole rsETH, configuré comme un point de défaillance unique. 116 500 tokens rsETH sont volés, soit environ 292 millions de dollars, le plus grand hack de l’année 2026 à ce jour.
Mais l’attaque ne s’arrête pas là. Les fonds volés sont immédiatement réutilisés comme collatéral sur Aave pour emprunter massivement du Wrapped Ether, amplifiant les dégâts bien au-delà du protocole initial.
Les deux attaques sont liées au Lazarus Group, le collectif de hackers affilié à la Corée du Nord, déjà responsable de certains des plus grands vols de l’histoire de la crypto.
A voir également sur Cryptonomic FR :
- Plus de la moitié des cryptos sont déjà mortes
- Attention si vous possédez la cryptomonnaie ONDO
- Le gouvernement US a t’il perdu 40 millions en Bitcoin ?!
Des dégâts qui vont bien au-delà des chiffres
Le hack de KelpDAO a provoqué une réaction en chaîne immédiate sur Aave.
La TVL du plus grand protocole de prêts DeFi s’est effondrée de 26,4 milliards à environ 17,9 milliards de dollars en l’espace de quelques jours. Le token AAVE a plongé de 16%, tombant à 92 dollars.
Le protocole se retrouve avec plusieurs centaines de millions de dollars de créances irrécouvrables, et la question de la capacité d’absorption du fonds de réserve reste ouverte.
D’autres incidents sont venus s’ajouter au bilan du mois. CoW Swap a subi un détournement DNS, redirigeant les utilisateurs vers des interfaces frauduleuses.
La BNB Smart Chain a perdu 1,67 million de dollars via des flash loans. Step Finance a perdu 27,3 millions de dollars par compromission de clés privées.
Et Litecoin a subi une attaque de réorganisation de 13 blocs le 25 avril, exploitant sa couche de confidentialité MWEB.
Ce qui ressort de cet ensemble d’incidents, c’est un changement structurel dans la méthode des attaquants. Les bugs de smart contracts ne sont plus la principale porte d’entrée.
Les hackers ciblent désormais l’infrastructure critique : les bridges cross-chain, les clés privées, et les humains qui gèrent les protocoles. Une évolution qui rend la défense beaucoup plus complexe, car elle ne se résout pas uniquement avec du code.
Affaire à suivre sur Cryptonomic.
Pingback: Strategy suspend ses achats BTC avant ses résultats Q1 - Cryptonomic