Les bridges cross-chain ont perdu 340,7 millions de dollars en 14 exploits sur la seule année 2026, selon une alerte de PeckShield publiée le 1er juin 2026. Ce qui devait constituer l'épine dorsale de l'interopérabilité blockchain est devenu, concrètement, la surface d'attaque la plus coûteuse de toute la DeFi. Il ne s'agit pas d'une série de malchances. C'est un schéma structurel.
Une thèse circule dans le secteur: les bridges sont une infrastructure jeune, et les vulnérabilités se combleront à mesure que les audits s'améliorent et que la technologie mûrit. Les données de 2026 racontent autre chose, de moins confortable. Le problème n'est pas la maturité du code. C'est là où le code concentre la valeur.
La thèse optimiste: juste une question de temps
En réalité, l'argument optimiste paraît raisonnable. Les bridges sont des logiciels complexes, qui gèrent des messages entre des chaînes hétérogènes, et toute technologie nouvelle traverse une fenêtre de vulnérabilité avant de se stabiliser. Audits, bug bounties, surveillance continue: avec les bons outils, affirme cette école de pensée, le risque finit par être maîtrisé. C'est la même courbe qu'ont suivie les exchanges centralisés après leurs pires années.
Ce raisonnement a un angle mort. Il suppose que le défaut est accidentel, une série de bugs à corriger un par un. Les données de 2026 pointent au contraire vers un défaut de conception, pas d'implémentation.
Les chiffres qui contredisent l'optimisme
En mai 2026, on a recensé 60 incidents, le chiffre mensuel le plus élevé de l'année, pour environ 68,3 millions de dollars de pertes brutes, selon PeckShield. Les vulnérabilités de code ont représenté 66% des incidents, tandis que les exploits de bridges ont produit la perte unitaire la plus élevée de tout type d'incident. Le taux de récupération des fonds n'a atteint que 13,7%. Près de neuf dollars volés sur dix ne reviennent jamais.
Le cas emblématique reste KelpDAO. PeckShield a documenté sur X la dynamique des exploits cross-chain de 2026, et la lecture agrégée est sans équivoque: les bridges dominent le classement des pertes.
Pourquoi les bridges crypto sont-ils constamment hackés?
Les bridges concentrent le collatéral de dizaines de chaînes en un seul point de défaillance, et une seule faille dans la vérification des messages suffit à le vider. C'est le défaut de conception, pas un bug dans un contrat isolé. Le 18 avril 2026, un attaquant a drainé environ 116 500 rsETH (soit 292 millions de dollars) depuis le bridge de KelpDAO construit sur LayerZero. Chainalysis a établi que LayerZero avait configuré par défaut un quorum RPC de 1 sur 1: un seul nœud compromis pouvait autoriser des messages cross-chain frauduleux. Ce rsETH garantissait des versions du token sur plus de vingt chaînes, de Base à Arbitrum, de Linea à Scroll. Une faille, vingt écosystèmes exposés.
Le scénario se répète à plus petite échelle, mais avec une logique identique. Un attaquant frappe, vide, fait passer les fonds vers une autre chaîne, puis blanchit. Dans un cas récent, 1 285,5 ETH ont été acheminés via un mixer pour effacer les traces. Frapper, vider, bridger, blanchir, et la chaîne d'exploitation est désormais industrielle.
À cela s'ajoute un sujet que SpazioCrypto a déjà traité: l'émergence d'agents IA capables de détecter des vulnérabilités plus vite que les défenseurs ne peuvent les corriger. Cette analyse fait l'objet d'un article dédié.
La cible ne se corrigera pas seule
En croisant les deux angles, la conclusion est moins rassurante que la thèse dominante. Tant que les bridges resteront des dépositaires uniques de collatéral multi-chaîne, la géométrie du risque favorisera l'attaquant. L'attaquant n'a besoin de trouver qu'un seul point faible. Le défenseur doit tous les protéger. La vérification à quorum minimal, les optimisations de coût qui réduisent les contrôles, la pression à livrer vite: chaque raccourci devient une porte d'entrée. Les 340,7 millions de dollars de 2026 ne sont pas la somme de malchances. Ils représentent le prix structurel d'une architecture qui n'a pas encore résolu son problème le plus coûteux.
Pour approfondir la sécurité cross-chain au niveau technique, les recommandations européennes sur la sécurité des infrastructures numériques sont publiées par l'ENISA, tandis que les mouvements on-chain des attaquants restent traçables sur Etherscan.
