Le rapport de sécurité Q1 2026 de Hacken a comptabilisé 464,5 millions de dollars de pertes Web3 à travers 43 incidents, le phishing et l'ingénierie sociale étant responsables de la majorité des dommages. Le rapport soutient que les échecs les plus coûteux passent des codes onchain aux couches opérationnelles et d'infrastructure alors que les régulateurs poussent à un suivi continu et à une réponse plus rapide aux incidents.
Points clés
- Les pertes Web3 ont totalisé 464,5 millions de dollars au Q1 2026 à travers 43 incidents, selon la répartition trimestrielle de la sécurité de Hacken.
- Le phishing et l'ingénierie sociale ont causé 306 millions de dollars de pertes au cours du trimestre, éclipsant les dommages causés par les exploits de contrats intelligents.
- Une escroquerie de portefeuille matériel de 282 millions de dollars en janvier a représenté 81 % des pertes totales du Q1, faussant considérablement le chiffre agrégé.
- Les exploits de contrats intelligents ont atteint 86,2 millions de dollars, tandis que les échecs de contrôle d'accès liés aux clés et aux services cloud ont ajouté 71,9 millions de dollars de pertes.
Pertes du Q1 2026 : 464,5 millions de dollars à travers 43 incidents, dominés par le phishing
Le rapport de Hacken pour le Q1 2026 a mis les pertes totales Web3 à 464,5 millions de dollars à travers 43 incidents de janvier à mars. Le titre n'est pas une histoire de contrat intelligent. Le phishing et l'ingénierie sociale ont représenté 306 millions de dollars, faisant de la compromission de la « couche humaine » le principal moteur des dommages au cours du trimestre.
Le rapport a présenté le Q1 2026 comme le deuxième plus bas premier trimestre depuis 2023. Hacken a attribué la baisse d'une année sur l'autre principalement à l'absence d'un événement méga unique comme la perte de 1,46 milliard de dollars de Bybit au Q1 2025, plutôt qu'à un état de santé sain dans l'écosystème.
Pour les traders, le mélange est important. Un trimestre où le phishing dépasse les ruptures de contrats intelligents change ce à quoi ressemble le « risque de sécurité » en pratique, car le mode de défaillance concerne moins la correction du code et plus les contrôles opérationnels et la compromission des utilisateurs ou des employés.
Une escroquerie de portefeuille matériel en janvier a représenté 81 % du trimestre
Le chiffre agrégé des pertes du Q1 est fortement concentré. Une seule escroquerie de portefeuille matériel de 282 millions de dollars en janvier a représenté 81 % des dommages totaux du trimestre, ce qui signifie que le chiffre de 464,5 millions de dollars est plus une histoire d'un événement disproportionné qu'une augmentation généralisée à travers tous les vecteurs.
Cette concentration a des conséquences dans les deux sens. Elle peut rendre le trimestre pire que le profil d'incident typique impliqué par le compte de 43 événements, mais elle met également en évidence à quelle vitesse une seule campagne d'ingénierie sociale peut dominer les pertes réalisées.
L'extrait du rapport n'identifie pas la victime ou l'entité derrière l'incident de 282 millions de dollars, laissant un vide d'information qui compte pour la structure du marché. Sans un lieu nommé, un fournisseur de portefeuille ou une configuration de garde, il est difficile de cartographier l'exposition de second ordre comme les contreparties, les perspectives de récupération ou si des modèles opérationnels similaires existent ailleurs.
Opérations, clés et comptes cloud : où se déplacent les plus grands échecs
La répartition par catégorie de Hacken renforce le changement loin des récits d'exploitation purement onchain. Les exploits de contrats intelligents ont totalisé 86,2 millions de dollars au Q1 2026. Les échecs de contrôle d'accès, y compris les clés compromises et les services cloud, ont causé 71,9 millions de dollars supplémentaires.
Le PDG et co-fondateur Yev Broshevan a résumé la direction du voyage de manière franche, disant que les échecs les plus coûteux « se produisent entièrement en dehors de la couche de code ». Les exemples du rapport se situent clairement dans cette couche opérationnelle : une attaque par appel vidéo de faux capital-risqueurs liée à la Corée du Nord de 40 millions de dollars contre Step Finance et une compromission de service de gestion de clés AWS de 25 millions de dollars chez Resolv Labs.
Même lorsque les contrats étaient la cause profonde, Hacken a pointé des modèles familiers plutôt que des zero-days nouveaux. Truebit a perdu 26,4 millions de dollars à cause d'un bug Solidity dans un contrat déployé il y a environ cinq ans, et Venus Protocol a subi un modèle d'« attaque par don » documenté depuis 2022.
Les régulateurs poussent au-delà des audits : les cibles de surveillance et de réponse « prêtes pour les régulateurs » de HackenDans ce contexte, Hacken a établi une pile « prête pour les régulateurs » : des attestations de preuve de réserves soutenues par une réconciliation interne quotidienne, une surveillance onchain 24/7 à travers les portefeuilles de trésorerie et les rôles privilégiés, des coupe-circuits automatisés sur les fonctions de minting et de gouvernance, et des horloges de notification d'incidents calibrées selon la norme applicable la plus stricte.
Le rapport a également fixé des objectifs de temps de réponse. Les objectifs « réalistes » étaient une sensibilisation dans les 24 heures, un étiquetage dans les quatre heures et un blocage en 30 secondes. Les objectifs « aspirants » allaient jusqu'à 10 minutes pour la détection et 1 seconde pour bloquer, citant des conseils des données de la course au blanchiment de Global Ledger de 2025.
Les prochains catalyseurs sont principalement motivés par l'attribution et l'application : identification de la victime de l'escroquerie de portefeuille matériel de 282 millions de dollars et toute divulgation ultérieure, actions des forces de l'ordre ou efforts de récupération. Les traders doivent également évaluer le ratchet de conformité, alors que plus de conseils et d'application liés à MiCA/DORA, VARA, aux règles de notification de Singapour et aux pouvoirs de supervision élargis des Émirats Arabes Unis poussent les plateformes vers une surveillance toujours active. Hacken a également signalé les clusters nord-coréens comme la menace opérationnelle la plus constante, citant un manuel de 2025 impliquant des contacts de faux VC et des outils d'appel vidéo malveillants qui ont extrait environ 2,04 milliards de dollars, avec des exemples du Q1 incluant la perte de Step Finance et la violation d'infrastructure de Bitrefill.Je ne lis pas les chiffres du Q1 de Hacken comme un tour de victoire de « les contrats intelligents sont plus sûrs maintenant ». Le profil de perte indique aux traders où se situe la véritable fragilité : phishing et ingénierie sociale à 306 millions de dollars contre 86,2 millions de dollars en exploits de contrats intelligents, plus 71,9 millions de dollars en échecs de contrôle d'accès liés aux clés et au cloud. C'est un risque opérationnel portant un badge Web3.
Le seuil qui compte est de savoir si le marché commence à traiter la surveillance 24/7, les coupe-circuits et la preuve de réserves avec réconciliation quotidienne comme des enjeux de base pour des contreparties sérieuses, et non comme un théâtre de sécurité optionnel. Si cette norme se renforce sous MiCA/DORA et des régimes similaires, la configuration commence à sembler structurelle plutôt que dictée par le récit, car le capital discriminera de plus en plus en fonction des contrôles opérationnels plutôt que des logos d'audit.
Sources
Hacken (via la publication Cointelegraph des détails du rapport Q1 2026)
[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
[@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
- [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
btc$73,912-0.33%
eth$2,308.25-1.27%
usdt$1-0.01%
xrp$1.41+2.34%
bnb$619.47+0.13%
usdc$1-0.00%
sol$85.32+1.27%
trx$0.33+0.35%
doge$0.1+1.51%
ada$0.25+2.19%
bch$437.93+0.22%
link$9.23+0.27%
xlm$0.16+2.58%
ltc$55.04-0.10%
avax$9.4-0.40%
sui$0.97+1.34%
hbar$0.09+1.41%
dot$1.28+9.31%
uni$3.29+2.33%
etc$8.44-0.15%
algo$0.11+0.14%
atom$1.79+1.36%
fil$0.98+7.65%
vet$0.01+1.48%
