Les plus gros hacks et effondrements crypto de l’histoire : de Mt. Gox à FTX

L’histoire de la cryptomonnaie est jalonnée de hacks spectaculaires — des milliards de dollars volés, des plateformes qui s’effondrent du jour au lendemain, et des investisseurs qui perdent tout. Ces incidents ne sont pas de simples faits divers : ils ont façonné l’industrie, poussé les protocoles à se renforcer, et rappelé une vérité fondamentale — en crypto, la sécurité n’est pas une option. Voici les plus grands hacks et effondrements de l’histoire crypto, ce qui s’est passé, et les leçons à en tirer.

1. Mt. Gox — 850 000 BTC volés (2014)

Montant : 850 000 BTC (~450 millions $ à l’époque, ~85 milliards $ au cours actuel)
Type : Hack d’exchange centralisé

Mt. Gox est le hack fondateur de l’histoire crypto. En 2013, cette plateforme japonaise traitait 70 % de toutes les transactions Bitcoin mondiales. En février 2014, Mt. Gox a brutalement fermé ses portes et annoncé la disparition de 850 000 BTC — appartenant à environ 24 000 clients.

L’enquête a révélé que les fonds avaient été siphonnés progressivement depuis 2011, sans que la direction ne s’en aperçoive. Le PDG Mark Karpelès a été arrêté au Japon, jugé et condamné pour manipulation de données financières. Les créanciers attendent depuis plus de 10 ans le remboursement de leurs fonds — un processus juridique kafkaïen qui n’est toujours pas totalement résolu en 2026.

Leçon : Ne laissez jamais la totalité de vos cryptos sur un exchange. C’est de Mt. Gox qu’est né le mantra « Not your keys, not your coins » — si vous ne contrôlez pas vos clés privées, vous ne possédez pas vraiment vos cryptos. Utilisez un hardware wallet.

2. FTX — 8 milliards $ de fonds clients disparus (2022)

Montant : ~8 milliards $ de fonds clients
Type : Fraude / détournement de fonds

FTX n’est pas un hack au sens technique du terme — c’est quelque chose de pire. Sam Bankman-Fried (SBF), le fondateur de FTX, considéré comme le prodige de la crypto et interlocuteur privilégié du Congrès américain, a secrètement utilisé les fonds de ses clients pour financer des investissements risqués via sa société sœur Alameda Research.

Quand CoinDesk a révélé en novembre 2022 que le bilan d’Alameda reposait principalement sur des tokens FTT (le token de FTX), un bank run massif s’est déclenché. FTX s’est retrouvé insolvable en 48 heures. Plus d’un million de clients ont perdu l’accès à leurs fonds. SBF a été arrêté, extradé aux États-Unis, et condamné à 25 ans de prison en mars 2024.

L’effondrement de FTX a entraîné dans sa chute des dizaines d’entreprises crypto (BlockFi, Genesis, Voyager) et a déclenché un hiver crypto prolongé.

Leçon : Un exchange peut être populaire, bien marketé, soutenu par des célébrités et des fonds de capital-risque prestigieux — et être une fraude totale. Stockez vos cryptos en self-custody. Aucun exchange n’est « too big to fail ».

3. Ronin Bridge (Axie Infinity) — 625 millions $ (2022)

Montant : 625 millions $ (173 600 ETH + 25,5 millions USDC)
Type : Hack de bridge / compromission de clés

En mars 2022, le bridge Ronin — qui reliait le jeu play-to-earn Axie Infinity à la blockchain Ethereum — a été victime du plus gros hack DeFi de l’histoire. Le groupe de hackers nord-coréen Lazarus Group a compromis 5 des 9 validateurs du bridge, obtenant ainsi le contrôle suffisant pour signer des transactions frauduleuses.

Le plus troublant : le hack a été réalisé le 23 mars, mais n’a été découvert que 6 jours plus tard, le 29 mars, quand un utilisateur a signalé ne pas pouvoir retirer ses fonds. Pendant 6 jours, personne ne s’est aperçu que 625 millions de dollars avaient disparu.

Sky Mavis (l’éditeur d’Axie Infinity) a remboursé les utilisateurs affectés grâce à une levée de fonds de 150 millions $ menée par Binance. Le bridge a été relancé avec des mesures de sécurité renforcées.

Leçon : Les bridges sont le maillon faible de la DeFi. Quand vous transférez des cryptos via un bridge, vous faites confiance à un smart contract qui détient des centaines de millions de dollars. Utilisez uniquement des bridges éprouvés et officiels, et limitez les montants.

4. Poly Network — 611 millions $ (2021)

Montant : 611 millions $
Type : Exploit de smart contract

En août 2021, un hacker a exploité une vulnérabilité dans le smart contract cross-chain de Poly Network pour voler 611 millions $ en cryptomonnaies sur trois blockchains différentes (Ethereum, BNB Chain, Polygon).

L’histoire a pris un tournant surréaliste : après le hack, Tether a gelé 33 millions $ d’USDT volés, et la communauté crypto a commencé à traquer les fonds. Sous la pression, le hacker a rendu la totalité des fonds en quelques jours, affirmant qu’il avait agi « pour le fun » et pour exposer la vulnérabilité. Poly Network lui a même offert un poste de « conseiller en sécurité » et une récompense de 500 000 $.

Leçon : Même les protocoles audités peuvent contenir des failles critiques. La DeFi est un environnement où des centaines de millions de dollars sont protégés par du code — et le code peut avoir des bugs.

5. Binance BNB Bridge — 570 millions $ (2022)

Montant : 570 millions $ (2 millions BNB)
Type : Exploit de bridge

En octobre 2022, un attaquant a exploité une vulnérabilité dans le bridge BSC Token Hub de BNB Chain pour créer 2 millions de BNB à partir de rien. Le hacker a fabriqué de fausses preuves de dépôt que le smart contract du bridge a acceptées comme valides.

La réponse de Binance a été rapide et controversée : la BNB Chain a été temporairement arrêtée par les validateurs pour empêcher le hacker de transférer les fonds. Cette action a relancé le débat sur la décentralisation réelle de BNB Chain — une blockchain véritablement décentralisée ne peut pas être « arrêtée » sur décision d’une entreprise.

Une partie des fonds a été récupérée, mais environ 100 millions $ ont été transférés vers d’autres chaînes avant l’arrêt du réseau.

Leçon : Les bridges restent une cible privilégiée des hackers. Et la « décentralisation » de certaines blockchains est parfois plus marketing que réelle.

6. Coincheck — 530 millions $ (2018)

Montant : 530 millions $ (523 millions NEM/XEM)
Type : Hack d’exchange centralisé

En janvier 2018, l’exchange japonais Coincheck a été victime du vol de 523 millions de tokens NEM. La cause était d’une simplicité déconcertante : Coincheck stockait les fonds de ses clients dans un hot wallet unique, sans multi-signature, sans cold storage adéquat. Un malware installé sur les ordinateurs des employés a suffi pour vider le portefeuille.

Coincheck a miraculeusement survécu au hack : l’entreprise a remboursé l’intégralité des clients sur ses fonds propres (environ 420 millions $) et a été rachetée par le groupe financier japonais Monex en avril 2018.

Leçon : Un exchange qui stocke tout dans un hot wallet est un accident qui attend de se produire. Avant de confier vos fonds à un exchange, renseignez-vous sur ses pratiques de sécurité (cold storage, multi-signature, proof of reserves).

7. Wormhole — 320 millions $ (2022)

Montant : 320 millions $ (120 000 wETH)
Type : Exploit de bridge

En février 2022, le bridge Wormhole — connectant Ethereum à Solana — a été hacké pour 320 millions $. L’attaquant a exploité une faille dans le processus de vérification des signatures pour créer 120 000 wETH (wrapped ETH) sur Solana sans déposer l’ETH correspondant sur Ethereum.

Jump Crypto, la société mère de Wormhole, a comblé la perte en injectant 320 millions $ de ses propres fonds pour rétablir le peg des wETH. C’est l’un des rares cas où un hack majeur a été intégralement compensé par un bailleur de fonds privé.

En février 2023, une opération conjointe des forces de l’ordre et de la communauté crypto a permis de récupérer 140 millions $ des fonds volés.

Leçon : Encore un bridge. Le schéma est clair : les bridges cross-chain sont la surface d’attaque la plus rentable pour les hackers crypto.

8. Terra/LUNA — 40 milliards $ anéantis (2022)

Montant : ~40 milliards $ de valeur de marché
Type : Effondrement algorithmique (pas un hack au sens technique)

L’effondrement de Terra/LUNA en mai 2022 n’est pas un hack — c’est un effondrement systémique qui a détruit plus de valeur que tous les hacks réunis. L’UST, un stablecoin algorithmique, a perdu son ancrage au dollar quand une pression vendeuse massive a déclenché une spirale de la mort avec le token LUNA.

En quelques jours, LUNA est passé de 119 $ à moins de 0,01 $. L’UST est tombé de 1 $ à 0,02 $. 40 milliards de dollars de capitalisation ont été vaporisés. Des centaines de milliers de personnes ont perdu leurs économies — certaines avaient mis 100 % de leur épargne dans l’UST pour les rendements de 20 % offerts par le protocole Anchor.

Do Kwon, le fondateur de Terra, a été arrêté au Monténégro en mars 2023 alors qu’il tentait de fuir avec un faux passeport. Il a été extradé et fait face à des charges de fraude multiples.

Leçon : Les stablecoins algorithmiques sans collatéral suffisant sont intrinsèquement fragiles. Et un rendement de 20 % « garanti » sur un stablecoin devrait toujours déclencher une alarme — si c’est trop beau pour être vrai, c’est que ça l’est.

9. Bitfinex — 120 000 BTC volés (2016)

Montant : 120 000 BTC (~72 millions $ à l’époque, ~12 milliards $ au cours actuel)
Type : Hack d’exchange centralisé

En août 2016, l’exchange Bitfinex a subi le vol de 120 000 BTC. Les hackers ont exploité une vulnérabilité dans le système de multi-signature de BitGo utilisé par Bitfinex.

L’affaire a connu un dénouement hollywoodien en février 2022 : le ministère de la Justice américain a arrêté Ilya Lichtenstein et Heather Morgan (connue comme « la rappeuse de Wall Street ») et a saisi 94 636 BTC (~3,6 milliards $ à l’époque). C’est la plus grande saisie financière de l’histoire des États-Unis. Le couple a été condamné en 2024.

Bitfinex a survécu au hack en créant un token BFX pour représenter les pertes des utilisateurs, puis en rachetant progressivement ces tokens sur les années suivantes.

10. The DAO — 60 millions $ (2016)

Montant : 60 millions $ (3,6 millions ETH)
Type : Exploit de smart contract

Le hack de The DAO est historique car il a changé le cours de la blockchain Ethereum pour toujours. The DAO était le premier grand fonds d’investissement décentralisé, ayant levé 150 millions $ en ETH — 14 % de tout l’Ether en circulation à l’époque.

En juin 2016, un attaquant a exploité une faille de « réentrance » dans le smart contract pour siphonner 3,6 millions d’ETH. La communauté Ethereum a alors fait face à un dilemme déchirant : laisser le vol se produire (respecter l’immutabilité de la blockchain) ou effectuer un hard fork pour annuler le hack (violer le principe d’immutabilité).

Le fork a été voté et exécuté en juillet 2016. La blockchain s’est divisée en deux : Ethereum (la chaîne forkée, sans le hack) et Ethereum Classic (la chaîne originale, avec le hack). C’est un moment fondateur de l’histoire crypto qui pose une question toujours non résolue : le code est-il vraiment « la loi » quand des centaines de millions de dollars sont en jeu ?

Le tableau récapitulatif

Les leçons à retenir

Après 15 ans de hacks, certains schémas reviennent systématiquement. Voici les enseignements que chaque investisseur devrait intégrer.

Les bridges sont le point faible n°1 de la DeFi. Ronin (625 M$), BNB Bridge (570 M$), Wormhole (320 M$), Nomad (190 M$)… Les bridges concentrent d’énormes quantités de valeur dans des smart contracts complexes, ce qui en fait des cibles idéales. Quand vous transférez des cryptos via un bridge, vous acceptez un risque supplémentaire.

Les exchanges ne sont pas des banques. Mt. Gox, FTX, Coincheck, Bitfinex — les hacks d’exchanges jalonnent toute l’histoire crypto. Votre argent sur un exchange n’est pas assuré et n’est pas le vôtre. Utilisez un cold wallet pour tout ce que vous ne tradez pas activement.

Les rendements irréalistes sont un signal d’alarme. Anchor Protocol (Terra) offrait 20 % « garanti » sur un stablecoin. Celsius offrait des rendements impossibles. Ces promesses ont attiré des milliards — et ces milliards ont disparu. Si le rendement semble trop beau, demandez-vous d’où vient l’argent.

Le code n’est pas infaillible. Même les smart contracts audités par des firmes réputées peuvent contenir des failles. Diversifiez vos dépôts DeFi entre plusieurs protocoles — ne mettez pas tous vos fonds dans un seul smart contract.

La sécurité s’améliore. Malgré ces incidents, l’industrie progresse. Les audits sont plus rigoureux, les protocoles plus robustes, les bridges plus sécurisés, la régulation plus stricte. Les hacks d’exchanges sont devenus plus rares grâce au cold storage, aux proof of reserves et à la régulation. La DeFi évolue vers des standards de sécurité plus élevés avec chaque incident.

Comment vous protéger

Les mesures de protection sont simples et connues — le plus dur est de les appliquer systématiquement.

✅ Stockez la majorité de vos cryptos sur un hardware wallet Ledger — pas sur un exchange.
✅ Protégez votre seed phrase : jamais en ligne, jamais en photo, sur papier ou métal en lieu sûr.
✅ Utilisez des wallets séparés pour le stockage long terme et les interactions DeFi.
✅ Vérifiez les autorisations de vos tokens avec revoke.cash et révoquez celles qui ne sont plus nécessaires.
✅ Méfiez-vous des rendements trop élevés — demandez-vous toujours d’où vient le yield.
✅ Diversifiez entre plusieurs protocoles et plusieurs chaînes.
✅ Activez le 2FA (Google Authenticator, pas SMS) sur tous vos comptes exchange.

Ce qu’il faut retenir

L’histoire des hacks crypto est une chronique de la cupidité, de la négligence et de l’innovation. Chaque incident a coûté des milliards mais a aussi renforcé l’écosystème. Mt. Gox a donné naissance au cold storage. FTX a lancé le mouvement « proof of reserves ». The DAO a posé les bases de la gouvernance décentralisée.

En tant qu’investisseur, votre meilleure protection n’est pas d’éviter la crypto — c’est de comprendre les risques et d’appliquer les bonnes pratiques de sécurité. Un hardware wallet, une seed phrase bien protégée, et une dose saine de scepticisme face aux promesses de rendement sont vos meilleurs remparts contre les prochains incidents. Car s’il y a une certitude dans la crypto, c’est qu’il y aura d’autres hacks.