Le vol de cryptomonnaies en 2025 marque un tournant : les attaques de la Corée du Nord atteignent un record de 2,02 milliards de dollars, et le cycle de blanchiment d'argent dure environ 45 jours

2026-01-19 08:38:56

Points clés :

L’industrie de la cryptographie en 2025 fait face à une crise grave. Selon les données de Chainalysis, le montant total des fonds volés cette année dépasse 3,4 milliards de dollars, dont 1,5 milliard de dollars proviennent d’un seul incident majeur. Plus choquant encore, la sophistication croissante des méthodes d’attaque rend la défense de plus en plus difficile.

Le phénomène le plus préoccupant est que, bien que le nombre d’attaques confirmées diminue, le montant volé par incident augmente rapidement. Le ratio entre la plus grande attaque et la perte moyenne par incident a dépassé pour la première fois 1000 fois, dépassant même le marché haussier de 2021.

Record de vol par la Corée du Nord : 2,02 milliards de dollars

Le montant des vols liés à des groupes de hackers nord-coréens en 2025 atteint au moins 2,02 milliards de dollars, en hausse de 51 % par rapport à l’année précédente. C’est l’année la plus grave dans l’histoire des vols de cryptomonnaies par la Corée du Nord, représentant 76 % de tous les incidents confirmés.

En cumul, la somme totale de cryptomonnaies volées par la Corée du Nord atteint au moins 6,75 milliards de dollars, une échelle que peu d’autres groupes de hackers peuvent égaler.

Les techniques évoluées des hackers nord-coréens se dévoilent. Alors qu’ils se contentaient auparavant de s’infiltrer en tant que simples employés IT, ils utilisent désormais :

Se faire passer pour des recruteurs de sociétés Web3 ou IA renommées, obtenant ainsi des identifiants de connexion et du code source via de faux processus de recrutement
Se faire passer pour des investisseurs ou acquéreurs frauduleux ciblant la direction, pour accéder à des informations système ou à des infrastructures de grande valeur
Éviter la protection des cold wallets par des attaques complexes sur la gestion des clés privées ou le processus de signature

Ces méthodes se concentrent principalement sur des entreprises stratégiques en IA ou blockchain, avec en toile de fond un financement national et une évasion des sanctions internationales.

Les 3 plus gros incidents représentent 69 % des pertes totales

Les données de 2025 illustrent une « extrémisation » du secteur cryptographique. Les fonds volés lors des attaques majeures atteignent un niveau 1000 fois supérieur à celui des incidents classiques, concentrant 69 % des pertes totales dans les 3 plus grands cas.

Ce degré de concentration indique que la faiblesse en sécurité est concentrée sur certains plateformes. Les attaquants ciblent des services de grande envergure, adoptant une stratégie visant le maximum d’impact, où une seule réussite peut influencer l’évaluation de la sécurité annuelle.

Dans le domaine des portefeuilles personnels, le nombre d’incidents a explosé à 158 000 (trois fois plus qu’en 2022 avec 54 000), avec 80 000 victimes. Cependant, le montant moyen par victime diminue, ce qui montre que les attaquants ciblent un plus grand nombre d’utilisateurs, mais avec des pertes individuelles moindres.

Particulièrement dans le réseau Solana, où environ 26 500 victimes ont été rapportées, la gravité des failles de sécurité des portefeuilles personnels est mise en évidence.

Modèle de blanchiment d’argent propre à la Corée du Nord : processus structuré sur 45 jours

Après un vol massif, les hackers nord-coréens déploient une méthode de blanchiment très structurée. Ce processus s’étale sur environ 45 jours, en plusieurs phases.

Première phase (0-5 jours) : dispersion immédiate

Flux vers DeFi +370 %
Utilisation de services de mixing +135 à 150 %
Priorité initiale : « séparation immédiate de la source du vol »

Deuxième phase (6-10 jours) : diffusion à large échelle

Transition vers des plateformes avec peu de restrictions KYC (+37 %)
Infiltration progressive dans des exchanges centralisés (+32 %)
Diversification via ponts cross-chain (+141 %)

Troisième phase (20-45 jours) : ultime cash-out

Utilisation accrue de plateformes sans KYC (+82 %) et de services de collatéral (+87 %)
Utilisation active de réseaux de blanchiment en chinois (+33 à +1000 %)
Échange final contre fiat ou autres actifs

Ce qui distingue la Corée du Nord des autres cybercriminels, c’est leur dépendance extrême aux services de blanchiment en chinois et aux réseaux de collatéral. Plus de 60 % des transactions sont fractionnées en moins de 50 000 dollars, selon une stratégie de « micro-division » pour compliquer la traçabilité.

Par ailleurs, ils utilisent presque pas :

Protocoles de prêt (-80 %)
Plateformes sans KYC (-75 %, contradiction apparente)
Plateformes P2P (-64 %)
DEX (-42 %)

Ce profil suggère que l’opération nord-coréenne dépend fortement de partenaires locaux de confiance, privilégiant des acteurs fiables plutôt que des services à liberté totale.

Évolution de la sécurité DeFi : augmentation du TVL mais pertes faibles

Un phénomène intéressant apparaît entre 2024 et 2025. Malgré une forte reprise du Total Value Locked (TVL) en DeFi après un creux en 2023, les pertes dues aux hacks restent à un niveau historiquement bas.

2020-2021 : TVL et pertes par hacking en hausse simultanée
2022-2023 : baisse simultanée des deux
2024-2025 : TVL remonte, pertes restent faibles

Ce changement a deux implications majeures :

Amélioration de la sécurité L’époque initiale de DeFi (2020-2021) était marquée par une vulnérabilité extrême des protocoles. La stabilité actuelle, malgré la hausse du TVL, indique que les équipes ont renforcé considérablement la sécurité.

Changement de cible des attaquants L’augmentation des vols de portefeuilles personnels et d’attaques sur des services centralisés montre que les hackers se détournent du DeFi vers d’autres cibles.

Un exemple : l’incident de septembre 2025, où la sécurité renforcée a permis de détecter une activité suspecte 18 heures avant l’attaque. Le protocole a été suspendu en 20 minutes, empêchant la fuite de fonds, puis tous les fonds volés ont été récupérés en 12 heures. Notamment, 3 millions de dollars contrôlés par l’attaquant via la gouvernance ont été gelés, ce qui a inversé la tendance et fait perdre de l’argent à l’attaquant.

Cette rapidité et cette efficacité contrastent avec les attaques initiales de l’ère DeFi, qui entraînaient souvent des pertes permanentes.

Défis et enseignements pour 2026

Les données de 2025 révèlent une contradiction : la Corée du Nord a réduit de 74 % ses attaques confirmées tout en augmentant de 51 % le montant volé. Cela suggère que l’activité visible ne représente qu’une partie de la réalité.

Pour 2026, l’industrie doit se concentrer sur :

Renforcer la détection des caractéristiques propres à la Corée du Nord Identifier des comportements spécifiques : types de services, montants transférés, utilisation de réseaux chinois, etc., pour une intervention plus précoce.

Renforcer la défense des cibles de grande valeur Malgré la baisse du nombre d’attaques, leur puissance augmente. La vigilance face aux techniques avancées comme l’ingénierie sociale ou la fraude d’adoption est essentielle, notamment pour les entreprises stratégiques Web3 ou blockchain.

Améliorer la surveillance et la capacité de réponse Comme le montre l’incident Venus, une surveillance active, une réponse rapide et une gouvernance décisive permettent de minimiser les dégâts. La standardisation de ces pratiques dans l’industrie est nécessaire.

Les vols par la Corée du Nord ne sont pas de simples cybercrimes, mais une activité stratégique à l’échelle nationale. Suivre leur évolution et leurs méthodes est crucial pour renforcer la sécurité globale du secteur.

DEFI-3,12%

XVS-0,7%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.