Selon les statistiques du département de recherche et développement de l'Association vietnamienne de la blockchain (VBA) basées sur les rapports de Chainalysis et d'Immunefi, le monde a enregistré 657 piratages d'échanges de crypto-monnaie, causant des pertes allant jusqu'à 12,8 milliards de dollars au cours de la période allant de 2020 au 25 février 2025, mettant en garde contre les risques de cybersécurité à l'échelle mondiale.

L'année 2022 est considérée comme l'année la plus touchée, avec 219 cyberattaques, causant une perte d'environ 3,8 milliards de dollars. Bien que 2025 ne soit que les deux premiers mois, le marché a enregistré 20 piratages pour un montant total de près de 2,5 milliards de dollars.

Hacks célèbres de la période 2020 - début 2025

Bybit a été la dernière entreprise à être durement touchée début 2025, avec un vol de 1,5 milliard de dollars. Elle a été suivie par le piratage de Ronin (2022), qui a entraîné une perte de 615 millions de dollars et a affecté le réseau du jeu Axie Infinity, en raison d'une faille de sécurité inter-chaînes.

Le troisième plus grand piratage informatique au cours des cinq dernières années a été celui de Poly Network (2021), avec 610 millions de dollars volés, mais le pirate a restitué la plupart des actifs après des négociations.

L'attaque contre DMM Bitcoin (2024) a entraîné un retrait net de 300 millions de dollars de la plateforme d'échange. L'incident est dû à une compromission de clé privée, qui a entraîné la fermeture immédiate de DMM Bitcoin.

Au 5ème rang se trouve l'attaque contre l'échange Kucoin (2020) avec un montant de 281 millions USD, ciblant principalement Ethereum et Bitcoin, provoquant la panique dans la communauté blockchain.

Formes courantes d'attaque

Selon les statistiques du département de recherche et développement de VBA, de 2020 au 25 février 2025, il existe 3 principales formes d'attaques dans le domaine des crypto-monnaies, notamment : la compromission de clé privée, l'attaque de pont inter-chaînes et l'exploitation de contrats intelligents.

Les compromissions de clés privées ont représenté 36 % de tous les piratages, avec 235 incidents et une perte de 5,6 milliards de dollars (44 % des pertes totales). Ces attaques se produisent généralement sur des plateformes d'échange centralisées (CEX) ou des portefeuilles personnels, où les pirates volent des clés privées pour prendre le contrôle des actifs. En 2024, les cybercriminels ont volé 1,34 milliard de dollars par cette méthode.

Les attaques contre les ponts inter-chaînes ont également causé des dommages considérables. On compte 79 piratages dans cette catégorie, soit 12 % du total, pour des pertes estimées à 1,25 milliard de dollars. Ces attaques ont mis en évidence les risques importants liés aux transactions entre réseaux blockchain non sécurisés.

Parallèlement, les exploits de contrats intelligents étaient la méthode la plus courante dans le secteur de la blockchain, représentant 58 % de tous les piratages, avec des pertes pouvant atteindre 6,95 milliards de dollars. Les pirates informatiques ont exploité les vulnérabilités du code des contrats intelligents pour lancer des attaques et voler des actifs de protocoles financiers décentralisés. En 2022, 150 piratages de ce type ont causé une perte de 2,4 milliards de dollars, soit 82,1 % du montant total volé.

Dr Do Van Thuat, expert en technologie de l'Association vietnamienne de la blockchain, membre du conseil scientifique de l'Institut ABAII

Expliquant pourquoi les contrats intelligents sont souvent ciblés, le Dr Do Van Thuat, expert en technologie de l'Association vietnamienne de la blockchain et membre du Conseil scientifique de l'Institut ABAII, a expliqué que les contrats intelligents sont des règles de transaction programmées et déployées pour différentes applications (dapps) sur un réseau blockchain. Bien que la blockchain soit hautement sécurisée, la sécurité de ses applications (par exemple, la finance décentralisée DeFi) dépend également de l'ensemble des règles de fonctionnement spécifiées dans le contrat. Si les règles sont défectueuses ou présentent des vulnérabilités, elles seront moins sûres et exploitées, ce qui entraînera des pertes financières. Ce principe est similaire à celui des contrats civils et commerciaux dans la vie réelle.

« Les contrats intelligents contiennent de nombreux actifs, traitent des milliards de dollars de transactions chaque jour, et n'importe qui peut les lire et interagir avec eux, ce qui en fait une cible facile pour les pirates. Pour en revenir aux attaques contre Bybit, Ronin et Poly Network, le point commun de ces plateformes est qu'elles stockent des actifs dans des contrats intelligents multi-signatures, ce qui signifie qu'elles nécessitent des signatures numériques d'approbation simultanées de plusieurs personnes (qui gèrent le contrat) pour retirer de l'argent. Ces contrats sont open source, rigoureusement audités et très populaires », a déclaré le Dr Thuat.

Dans une explication simple du piratage de Bybit, le Dr Thuat a expliqué que, dans le contrat utilisant le portefeuille multi-signatures open source Safe, les pirates ont attaqué les gestionnaires de contrats intelligents (chaque personne détenant une clé secrète est autorisée à signer le contrat). Par une méthode « sophistiquée », les pirates ont découvert les gestionnaires, les ont piégés et les ont obligés à autoriser les voleurs à retirer de l'argent. Le contrat intelligent est comparable à un entrepôt de stockage soigneusement verrouillé : le voleur ne peut pas forcer la serrure, mais peut tromper le détenteur de la clé pour qu'il ouvre la porte et s'empare de l'argent.

Pour aller plus loin sur le plan technique, les interfaces utilisateur (UX/UI) sont souvent gérées et exploitées via des systèmes informatiques traditionnels (Web2) sur des plateformes cloud. Des pirates informatiques ont exploité la vulnérabilité du serveur Safe sur AWS, injectant ainsi des informations malveillantes, les masquant, rendant les administrateurs subjectifs et signant des autorisations permettant aux pirates de modifier les règles du contrat, ce qui leur permet de retirer de l'argent.

« Cette attaque a été analysée par de nombreuses unités de sécurité prestigieuses dans le monde, y compris au Vietnam », a déclaré le Dr Thuat.

Dr Nguyen Trung Thanh, président du comité Web3 de l'Association vietnamienne de la blockchain

Partageant le même avis que le Dr Thuat, le Dr Nguyen Trung Thanh, président du comité Web3 de l'Association vietnamienne de la blockchain, a déclaré que mener une attaque n'est pas simple et requiert de nombreuses conditions. L'attaquant a surveillé attentivement, avec persévérance et minutie, afin d'identifier les points faibles du système, notamment les composants Web2 et les facteurs humains.

« Ces vulnérabilités ne sont pas toujours présentes, mais peuvent apparaître uniquement en cas de négligence dans des processus tels que golive (mise en production des produits), la gestion des ressources humaines, la gestion du code source ouvert, ou lors de l'utilisation de produits tiers considérés comme « réputés » mais attaqués. Certaines vulnérabilités peuvent exister depuis longtemps, mais n'ont pas été découvertes et corrigées à temps. Lorsque des pirates informatiques découvrent ces faiblesses, elles deviennent des cibles d'exploitation pour commettre des intrusions », a estimé le Dr Thanh.

Le Dr Nguyen Duy Lan, expert en technologie de l'Association vietnamienne de la blockchain, cofondateur et vice-président de Veramine Inc., basé à Seattle (États-Unis), a analysé que les attaques contre les cryptomonnaies combinent souvent l'exploitation de vulnérabilités et l'utilisation de techniques d'ingénierie sociale, ciblant différentes faiblesses des systèmes Web 3 et Web 2. Pour le Web 3, les erreurs logiques des contrats intelligents sont souvent exploitées, telles que la gestion non sécurisée de cas particuliers (cas particuliers), les erreurs d'addition et de soustraction monétaires, et les vulnérabilités cryptographiques.

« Parallèlement, le Web 2 peut être attaqué de diverses manières, ciblant souvent les clés secrètes des utilisateurs, des administrateurs ou des passerelles. Si ces clés sont protégées par des dispositifs de sécurité matériels tels que des systèmes de gestion de la sécurité matérielle (HSM) ou des portefeuilles froids, le vol sera quasiment impossible, même s'il est toujours nécessaire de se prémunir contre les erreurs de chiffrement susceptibles de créer des clés prévisibles. À ce stade, les attaques visent principalement à accéder à ces clés ou à les contourner, en pénétrant le système logiciel qui les gère et en installant des logiciels malveillants pour tromper le système et les administrateurs », a expliqué le Dr Lan.

Quelle est la solution pour le Vietnam dans le futur ?

Les attaques de plus en plus sophistiquées des pirates informatiques ont eu un impact majeur sur le marché et ont affecté la psychologie des investisseurs. Cependant, le Dr Thuat a affirmé que la principale cause réside dans la tromperie des administrateurs de contrats intelligents, et non dans la vulnérabilité des contrats. La plupart des contrats restent sûrs, et le potentiel des applications blockchain via les contrats intelligents reste très ouvert et prometteur.

Pour minimiser le risque de piratage, les experts en technologie de VBA estiment que les développeurs et les opérateurs de contrats (détenant des clés secrètes) doivent toujours privilégier la sécurité, consulter les unités de sécurité de l'information et de sécurité du système pour prévenir les pirates et minimiser les risques.

« Il est essentiel d'investir dans la technologie, les ressources humaines et les processus de sécurité, notamment dans le développement d'outils de sécurité, la réalisation de tests, d'audits et de tests d'intrusion. Il est également nécessaire de mettre en place un système de surveillance des activités et d'appliquer l'intelligence artificielle (IA) pour détecter les anomalies. La sécurité doit être intégrée à l'ensemble du processus de développement des systèmes de cryptomonnaie, de la conception au déploiement, et peut s'inspirer des processus de sécurité du secteur informatique traditionnel », a déclaré le Dr Nguyen Duy Lan.

Le Dr Nguyen Trung Thanh a exprimé son opinion selon laquelle il est impossible d'assurer une sécurité absolue dans le domaine de la sécurité de l'information, il est seulement possible de minimiser les risques et de se préparer à d'éventuelles situations.

« Les investissements technologiques ne doivent pas être pris à la légère. Bien qu'ils puissent permettre des économies à court terme, un manque d'attention portée à la sécurité entraînera de graves conséquences à long terme. Les prestigieux membres de l'Association vietnamienne de la blockchain sont toujours prêts à accompagner et à soutenir les grandes entreprises pour garantir la sécurité des actifs numériques », a déclaré le Dr Thanh.

Suite aux récents piratages de plateformes d'échange de crypto-actifs, M. Phan Duc Trung, président de l'Association vietnamienne de la blockchain, a appelé le Vietnam à établir rapidement des normes de sécurité de l'information et de gestion des crypto-actifs. « Alors que le marché des actifs numériques continue de croître, l'absence d'un cadre juridique clair non seulement fragilise les investisseurs, mais limite également le potentiel du secteur de la blockchain. Seule la loi peut nous permettre de bâtir un écosystème de crypto-actifs fiable, à la fois protecteur des utilisateurs et promoteur de l'innovation », a souligné M. Trung.