Les protocoles décentralisés sont des cibles vulnérables pour les hackers nord-coréens.

Les groupes de hackers nord-coréens ciblent les cryptos depuis des années. L'exploitation du pont Ronin à hauteur de 625 millions de dollars en 2022 a été un signal d'alarme précoce — mais la menace n'a fait qu'évoluer.

En 2025 seulement, des attaquants affiliés à la Corée du Nord ont été liés à une série de campagnes visant à siphonner de la valeur et à compromettre des acteurs clés du Web3 : ils ont visé pour 1,5 milliard de dollars d'actifs chez Bybit via des campagnes de collecte d'identifiants, avec des millions déjà blanchis. Ils ont lancé des attaques par malware contre les utilisateurs de MetaMask et Trust Wallet, tenté d'infiltrer des exchanges via des candidatures d’emploi fictives, et monté des sociétés écrans aux États-Unis pour cibler les développeurs crypto.

Et bien que les gros titres se concentrent souvent sur les vols à grande échelle, la réalité est plus simple — et plus accablante. La couche la plus faible du Web3 n'est pas les smart contracts, mais les humains.

Les attaquants étatiques n'ont plus besoin de trouver des failles zero-day dans Solidity. Ils ciblent les vulnérabilités opérationnelles des équipes décentralisées : mauvaise gestion des clés, absence de processus d’intégration, contributeurs non validés qui poussent du code depuis des ordinateurs personnels, et gouvernance du trésor effectuée via des sondages Discord. Malgré tout le discours de notre industrie sur la résilience et la résistance à la censure, de nombreux protocoles restent des cibles faciles pour des adversaires sérieux.

Chez Oak Security, où nous avons mené plus de 600 audits dans les principaux écosystèmes, nous constatons régulièrement cette lacune : les équipes investissent massivement dans les audits de smart contracts mais ignorent la sécurité opérationnelle de base (OPSEC). Le résultat est prévisible. Des processus de sécurité inadéquats conduisent à des comptes contributeurs compromis, à une capture de la gouvernance et à des pertes évitables.

L'illusion du Smart Contract : Code sécurisé, équipes vulnérables

Malgré l'argent et le talent investis dans la sécurité des smart contracts, la plupart des projets DeFi échouent encore aux bases de la sécurité opérationnelle. L'hypothèse semble être que si le code a passé un audit, le protocole est sûr. Cette croyance n’est pas seulement naïve — elle est dangereuse.

La réalité est que les exploits des smart contracts ne sont plus la méthode d’attaque privilégiée. Il est plus facile — et souvent plus efficace — d’attaquer les personnes qui gèrent le système. Beaucoup d’équipes DeFi n’ont pas de responsables dédiés à la sécurité, choisissant de gérer d’énormes trésoreries sans qu’aucune personne ne soit officiellement responsable de l’OPSEC. Cela seul devrait susciter des inquiétudes.

De manière cruciale, les échecs d'OPSEC ne sont pas limités aux attaques des groupes sponsorisés par des États. En mai 2025, Coinbase a révélé qu’un agent de support à l’étranger — soudoyé par des cybercriminels — a accédé illégalement aux données client, entraînant une correction et une incertitude sur rançon de 180 à 400 millions de dollars. Des acteurs malveillants ont tenté des actions similaires sur Binance et Kraken. Ces incidents ne résultaient pas d'erreurs de codage — ils étaient le fruit de pots-de-vin internes et d’échecs humains en première ligne.

Les vulnérabilités sont systémiques. Dans toute l’industrie, les contributeurs sont souvent intégrés via Discord ou Telegram, sans vérification d’identité, sans provisionnement structuré et sans dispositifs vérifiables et sécurisés. Les modifications de code sont souvent déployées depuis des ordinateurs portables non validés, avec peu ou pas de sécurité des points de terminaison ni de gestion des clés. Les discussions sensibles de gouvernance se déroulent dans des outils non sécurisés comme Google Docs et Notion, sans piste d’audit, chiffrement ni contrôle d’accès adéquat. Et lorsque quelque chose tourne inévitablement mal, la plupart des équipes n’ont pas de plan de réponse, pas de commandant d’incident désigné et pas de protocole de communication structuré — juste le chaos.

Ce n’est pas la décentralisation. C’est de la négligence opérationnelle. Il y a des DAO qui gèrent 500 millions de dollars et qui échoueraient à un audit OPSEC basique. Il y a des trésoreries protégées par des forums de gouvernance, des sondages Discord et des multisigs du week-end — autant d’invitations ouvertes aux mauvais acteurs. Tant que la sécurité ne sera pas traitée comme une responsabilité globale — de la gestion des clés à l’intégration des contributeurs — le Web3 continuera de fuir de la valeur à travers ses couches les plus vulnérables.

Ce que la DeFi peut apprendre de la culture de sécurité des TradFi

Les institutions TradFi sont des cibles fréquentes d’attaques de hackers nord-coréens et autres — et, en conséquence, les banques et les entreprises de paiements perdent des millions chaque année. Mais il est rare de voir une institution financière traditionnelle s’effondrer, ou même suspendre ses opérations face à une cyberattaque. Ces organisations fonctionnent en assumant que les attaques sont inévitables. Elles conçoivent des défenses en couches qui réduisent la probabilité d’attaques et minimisent les dégâts quand des exploits surviennent, portées par une culture de vigilance constante qui fait toujours défaut à la DeFi.

Dans une banque, les employés n’accèdent pas aux systèmes de trading depuis des ordinateurs personnels. Les dispositifs sont durcis et surveillés en permanence. Les contrôles d’accès et la séparation des tâches garantissent qu’aucun employé ne peut déplacer des fonds ou déployer du code de production seul. Les processus d’intégration et de sortie sont structurés ; les identifiants sont soigneusement délivrés et révoqués. Et lorsqu’un problème survient, la réaction est coordonnée, pratiquée et documentée — pas improvisée sur Discord.

Le Web3 doit adopter une maturité similaire, mais adaptée aux réalités des équipes décentralisées.

Cela commence par l’application des playbooks OPSEC dès le premier jour, la conduite de simulations de red team testant le phishing, la compromission de l’infrastructure et la capture de la gouvernance — pas seulement les audits de smart contracts — et l’utilisation de wallets multisignatures soutenus par des hardware wallets individuels ou une gestion de trésorerie rigoureuse. Les équipes doivent valider les contributeurs et effectuer des vérifications d’antécédents pour toute personne ayant accès aux systèmes de production ou aux contrôles de trésorerie — même dans des équipes se considérant comme totalement « décentralisées ».

Certains projets commencent à montrer la voie, en investissant dans des programmes de sécurité structurés et des outils de niveau entreprise pour la gestion des clés. D’autres utilisent des outils avancés de Security Operations (SecOps) et des consultants en sécurité dédiés. Mais ces pratiques restent l’exception, pas la norme.

La décentralisation n’est pas une excuse pour la négligence

Il est temps d’affronter la véritable raison pour laquelle de nombreuses équipes Web3 accusent du retard sur la sécurité opérationnelle : sa mise en œuvre est difficile dans des organisations décentralisées et distribuées mondialement. Les budgets sont serrés, les contributeurs sont intermittents, et la résistance culturelle aux principes de cybersécurité, souvent perçus à tort comme de la « centralisation », reste forte.

Mais la décentralisation n’est pas une excuse pour la négligence. Les adversaires étatiques comprennent cet écosystème. Ils sont déjà dans l’enceinte. Et l’économie mondiale dépend de plus en plus des infrastructures on-chain. Les plateformes Web3 doivent d’urgence adopter et respecter des pratiques disciplinées de cybersécurité, sous peine de devenir une source de financement permanente pour les hackers et escrocs cherchant à les saper.

Le code seul ne nous défendra pas. La culture le fera.