La campagne actuelle Pixels sur Binance Square/CreatorPad (15M $PIXEL récompenses) est très récente— seulement environ une semaine. Binance n'a signalé aucun hack au niveau de l'échange, aucun drain de portefeuille chaud, ni aucune violation de plateforme pendant cette période.7445c6
Contexte sur la sécurité crypto au sens large
Incidents spécifiques à Binance : Plus tôt en 2026, il y a eu des expositions de données d'identification des utilisateurs (par exemple, ~420k comptes Binance dans une fuite de données de janvier provenant d'un logiciel malveillant infostealer, pas une violation directe du serveur Binance) et un autre incident de scraping en mars. Ce ne sont pas des hacks de plateforme affectant les fonds mais des identifiants exposés provenant des appareils des utilisateurs ou de sources tierces. Binance a souligné la sécurité côté utilisateur (2FA, etc.) et aucun fonds utilisateur n'a été perdu dans ces incidents. Aucun rapport similaire après le 14 avril.c59607
Écosystème DeFi/crypto : 2026 a connu une hausse des hacks dans l'ensemble (51+ incidents majeurs d'ici mi-avril, ~$165M+ volés YTD selon PeckShield ; rien qu'en avril, il y avait 13+ incidents et plus de 600M $ de pertes, y compris de gros comme Drift Protocol ~$285M et @Kelp DAO). Beaucoup impliquent des ponts cross-chain, des prêts flash ou des groupes liés à la Corée du Nord. Certains sont liés ou impliquent des pools de Binance Smart Chain (BSC), mais ce sont des exploits de protocoles, pas des hacks de l'échange Binance.
Projet/jeu Pixels : Aucun hack ou exploit majeur au niveau du projet signalé lié à la campagne Binance. Il y a des avertissements typiques d'utilisateurs concernant des scams/phishing dans la @Pixels communauté (par exemple, des liens frauduleux, des drains de portefeuille), et des "hacks/tricks" sans rapport dans des jeux de fans comme Pixel Worlds, mais rien de systémique affectant les principaux Pixels ou l'intégration de Binance.
Hacks Crypto de mars 2026
PeckShield et d'autres analystes on-chain ont rapporté 20 hacks/exploits majeurs en mars 2026, avec des pertes totales d'environ 52 millions de dollars (une augmentation de 96 % par rapport aux ~26,5 millions de dollars de février). La plupart des incidents étaient plus petits ou pas détaillés individuellement dans les rapports publics, mais les plus grands et les plus notables (qui ont représenté la majorité des pertes) sont ci-dessous.
Exploitation de Resolv Labs (exploit de stablecoin USR) – ~$25 millions (mars, date exacte non spécifiée dans les résumés)
Les attaquants ont exploité une vulnérabilité dans le Service de Gestion de Clés AWS (KMS) de Resolv Labs, ce qui leur a permis de contourner les vérifications de garantie dans la fonction completeSwap(). Ils ont déposé un petit montant (~100K–200K $) et ont frappé environ 80 millions de tokens USR non soutenus. Cela a causé le dépeg du stablecoin USR (effondrement de prix d'environ 74–80 %), déclenchant une mauvaise dette systémique et des répercussions d'insolvabilité à travers des protocoles DeFi interconnectés comme Morpho Blue, Euler et Fluid. L'attaquant a extrait environ 25 millions de dollars de valeur (principalement en échangeant les tokens gonflés en d'autres actifs) avant que les fonds ne soient dispersés. Aucun fonds n'a été directement drainé des réserves dans le sens classique – c'était un échec de la logique de frappe qui a sapé tout le mécanisme de soutien.
Sillytuna (attaque physique + on-chain) – ~$24 millions (fin mars)
L'utilisateur "Sillytuna" (un grand détenteur d'aEthUSDC sur Aave) a été victime d'une attaque hors ligne/physique impliquant un enlèvement et des menaces violentes. Les attaquants ont forcé l'accès aux identifiants ou appareils de la victime, puis ont volé environ 24 millions de dollars en aEthUSDC. Les fonds ont rapidement été blanchis et dispersés à travers Bitcoin, Monero et plusieurs réseaux de Layer-2 pour obscurcir la piste. Cela a mis en lumière le retour des tactiques d'ingénierie sociale/physique "réelles" aux côtés des exploits on-chain.
Baleine Kraken (ingénierie sociale sur utilisateur privé) – ~$18,2 millions (31 mars)
Un utilisateur de valeur élevée de Kraken détenant environ 8 662 ETH a été ciblé via l'ingénierie sociale (phishing/tromperie pour obtenir des credentials). L'attaquant a transféré les fonds ; environ 1,7 million de dollars ont été transférés via THORChain (une étape d'obscurcissement courante) et déposés dans HitBTC, tandis que la majeure partie (~5 347,9 ETH) est allée directement au même échange. Perte totale : ~$18 millions. Ce n'était pas une violation au niveau de la plateforme Kraken elle-même mais une compromission ciblée de l'utilisateur.
Protocole Venus – 2,18 millions de dollars (mars)
Une attaque hybride on-chain/off-chain a créé 2,18 millions de dollars de mauvaise dette. Les détails techniques spécifiques n'ont pas été publiés au-delà de la combinaison on/off-chain, mais cela a contribué au total du mois et a souligné les risques croissants de cross-vector.
Les ~16 incidents restants en mars étaient de plus petite échelle et n'ont pas été nommés individuellement dans les rapports agrégés ; ils ont constitué le solde du total de 52 millions de dollars. Les thèmes communs comprenaient le phishing, des défauts de smart-contract et le vol de credentials.
Incident lié à Binance (28–29 mars 2026) – Aucun fonds perdu, mais fuite de données d'environ 1,5 million de comptes.
Ce n'était pas un hack direct des serveurs de Binance ou une perte de fonds utilisateurs. La société de cybersécurité VECERT a rapporté qu'un acteur menaçant ("PexRat") vendait une base de données d'environ 1,5 million d'enregistrements d'utilisateurs de Binance sur le dark web. Les données comprenaient des e-mails, des mots de passe, des noms complets, des numéros de téléphone, le statut KYC, le statut 2FA, les adresses IP de dernière connexion, les infos sur les appareils, et plus encore. Cela provenait d'une opération de stuffing de credentials/extraction qui a contourné les protections CAPTCHA et de connexion via des requêtes automatisées – ce n'était pas une violation de serveur. (Cela a suivi un incident d'infostealer en janvier 2026 impliquant ~420K comptes.) Binance a souligné qu'aucun fonds de la plateforme n'était en risque et a exhorté les utilisateurs à activer le 2FA et à surveiller leurs comptes. L'incident a soulevé des risques de phishing/swap de SIM mais n'était pas une "attaque de hack" drainant de la crypto.
Hacks Crypto d'avril 2026 (au 21 avril)
Avril a été bien plus sévère. Les analystes ont rapporté 13+ incidents majeurs dans la première moitié du mois seulement, avec des pertes DeFi dépassant 600 millions de dollars à travers environ dix protocoles en l'espace de deux semaines – la pire période de sécurité de mémoire récente. Seuls quelques-uns ont été entièrement détaillés publiquement ; voici les plus marquants :
Drift Protocol (DEX perpétuel Solana) – ~$285 millions (1er avril)
Le plus grand exploit unique de 2026 à l'époque. Les attaquants (attribués avec une confiance moyenne au groupe Lazarus lié à la Corée du Nord / UNC4736) ont mené une campagne d'ingénierie sociale de six mois commençant à l'automne 2025. Ils ont créé un faux "CarbonVote Token" (CVT), ont semé de la liquidité, ont effectué des transactions wash pour manipuler les oracles, et ont trompé les signataires de la gouvernance/multisig pour pré-signer des transactions malveillantes en utilisant la fonction de nonce durable de Solana. Le 1er avril (commençant vers 16h05 UTC), ils ont soumis deux transactions à quatre slots d'intervalle, transféré le contrôle admin, accepté le faux token comme garantie et drainé environ 285 millions de dollars d'actifs réels (USDC, SOL, ETH, BTC) en moins de 15 minutes. Les fonds ont été échangés, transférés vers Ethereum et blanchis. Le protocole a suspendu ses opérations ; aucune récupération significative signalée. Il s'agissait d'une attaque de gouvernance/accès privilégié, pas d'un classique bug de smart-contract.
Kelp DAO (protocole de restaking liquide) – ~$292–293 millions (18/19 avril)
Actuellement le plus grand exploit DeFi de 2026. L'attaquant a forgé un message cross-chain via le pont alimenté par LayerZero de Kelp, le trompant pour libérer 116 500 rsETH (~18 % de l'offre circulante du token, d'une valeur de ~$292–293M). L'exploit a impliqué le financement d'un portefeuille via Tornado Cash environ 10 heures plus tôt pour créer une fausse instruction "légitime". Les fonds ont été immédiatement échangés en ETH et répartis entre Ethereum (~178M $) et Arbitrum (~72M $). Le rsETH volé a été déposé dans des plateformes de prêt (Aave V3, Compound V3, Euler, etc.), créant plus de 236 millions de dollars de mauvaise dette et déclenchant des pauses d'urgence/gel sur plusieurs chaînes et protocoles (Aave, SparkLend, Fluid, Upshift). Kelp a mis en pause les contrats rsETH sur tout le réseau pendant l'enquête.
Grinex (échange crypto) – ~$13,74 millions (15 avril)
Une bourse basée au Kirghizistan, liée à la Russie, a eu 13,74 millions de dollars en USDT drainés de 54 portefeuilles. Les fonds ont rapidement été convertis via SunSwap. Grinex a affirmé qu'il s'agissait d'une attaque ciblée par des "agences de renseignement occidentales" et a suspendu ses opérations, mais les analystes de Chainalysis ont suggéré qu'il pourrait s'agir d'un "scam de faux drapeau".
Hyperbridge – ~$237K (13 avril)
L'exploit dans le contrat Token Gateway a permis aux attaquants de forger des preuves cross-chain et d'obtenir des droits admin sur le contrat token DOT (Polkadot) sur Ethereum. Un rapport connexe a mentionné la frappe non autorisée d'environ 1 milliard de tokens DOT (la faible liquidité a limité la perte réelle). Petit par rapport aux autres mais faisant partie de la vague d'avril.
Les incidents restants d'avril (portant le total DeFi à plus de 600 millions de dollars en ~deux semaines) impliquaient d'autres problèmes de pont cross-chain, des exploits de protocoles de prêt et des attaques de gouvernance à travers des protocoles non nommés. Des décompositions individuelles complètes pour chaque événement mineur ne sont pas encore publiques, mais le schéma montre une ingénierie sociale sophistiquée, de la contrefaçon de pont et de la manipulation d'oracle/collatéral.
Points clés (au 21 avril 2026)
Mars a été dominé par des défauts de frappe de stablecoin, des attaques physiques/sociales et des attaques ciblées contre les utilisateurs.
Avril a fortement escaladé avec des exploits de gouvernance et de pont cross-chain, poussant les pertes YTD 2026 bien au-delà de 165 millions de dollars (avant avril) et dans les centaines de millions de plus.
Aucun drain de fonds au niveau de l'échange Binance ou hack de plateforme majeur n'a eu lieu en mars–avril. La fuite de données de mars était uniquement liée aux credentials. Binance a un solide bilan avec SAFU (Fonds d'Actifs Sécurisés pour les Utilisateurs) couvrant les incidents passés (comme le hack BTC de 2019), et aucun tel événement n'a été nécessaire récemment. Utilisez toujours des pratiques de sécurité solides, surtout pendant les campagnes : activez le 2FA, évitez les liens suspects et ne tradez que sur des plateformes officielles.
De nombreuses attaques sont liées à des acteurs étatiques (par exemple, la RPDC) ou à des menaces persistantes avancées utilisant des mois de préparation.
Ces chiffres proviennent de PeckShield, Chainalysis, d'annonces de projets et d'analystes on-chain. La sécurité crypto reste très dynamique – vérifiez toujours les sources officielles et utilisez des portefeuilles matériels/2FA.