Audit de smart contracts: le palmarès 2026 et ses limites
En avril 2026, Drift a perdu 250 millions d'euros malgré deux audits. Panorama des cabinets d'audit crypto: classements, controverses et angles morts, de CertiK à Halborn.
En avril 2026, environ 285 millions de dollars, soit près de 250 millions d’euros, ont quitté Drift Protocol, la principale plateforme de contrats perpétuels de Solana, en une douzaine de minutes. Détail troublant pour toute l’industrie de la sécurité: le code a fait exactement ce pour quoi il avait été programmé. Deux audits indépendants avaient validé le protocole quelques semaines plus tôt. Les smart contracts n’avaient aucune faille; ils ont simplement exécuté des instructions frauduleuses transmises par des attaquants disposant d’un accès qu’ils n’auraient jamais dû obtenir.
Cet écart entre code audité et fonds réellement en sécurité est devenu le grand sujet de 2026. Les cabinets d’audit de smart contracts vendent une forme de confiance, et leur tampon orne les sites des protocoles comme un label de qualité. Reste à savoir ce que valent vraiment ces cabinets, comment on les compare et, surtout, ce qu’ils couvrent. Tour d’horizon du marché de l’audit crypto, de ses classements, de ses controverses et de ses angles morts, au moment où l’AMF boucle le passage des acteurs français sous MiCA.
Pourquoi passer les auditeurs au crible
La première chose à comprendre, c’est qu’aucune autorité ne surveille les surveillants. Ni aux États-Unis ni en Europe, aucun régulateur n’accrédite les auditeurs de smart contracts, n’impose leur intervention ou ne fixe une norme pour la relecture de code. Il n’existe pas d’équivalent du PCAOB, le gendarme américain des cabinets comptables, pour le Solidity. La qualité d’un auditeur est donc «policée» par la seule réputation: la solidité de ses post-mortems, son historique de failles trouvées (ou manquées) et la présence de ses chercheurs dans les concours publics.
Le contexte rend l’exercice urgent. Selon le cabinet d’analyse TRM Labs, le premier semestre 2026 a battu un record avec 207 attaques recensées, pour un montant volé d’environ 972 millions de dollars (près de 853 millions d’euros), soit moins de la moitié des 2,3 milliards de dollars du premier semestre 2025. Le nombre d’incidents a plus que doublé, mais leur coût unitaire a reculé, un signal sur lequel nous reviendrons.
Le palmarès 2026: qui sont les grands cabinets
Le haut du marché s’organise autour de quelques noms, chacun fort d’une spécialité. OpenZeppelin, actif depuis 2015, tire sa crédibilité de sa bibliothèque de contrats, le socle logiciel le plus déployé de l’écosystème: Aave, Uniswap, Compound et des milliers d’autres s’appuient dessus. Le cabinet revendique plus de 44 milliards d’euros d’actifs sécurisés et a lancé en 2025 des outils de génération de code assistés par IA. Trail of Bits, plus ancien, fait référence sur la cryptographie, les preuves à divulgation nulle (ZK) et l’ingénierie bas niveau; il maintient des outils open source réputés comme Slither, Echidna et Medusa.
Viennent ensuite Halborn, spécialiste de la sécurité offensive, et CertiK, qui mise sur le volume et la surveillance continue. Autour d’eux gravitent des acteurs plus ciblés: Zellic sur Solana et Rust, Certora sur la vérification formelle, Consensys Diligence sur la DeFi EVM. Le classement 2026 dressé par Sherlock recoupe largement cette hiérarchie. Le tableau ci-dessous résume les profils.
| Cabinet | Création | Point fort | Repère 2026 |
|---|---|---|---|
| OpenZeppelin | 2015 | Bibliothèque de référence, DeFi EVM | Plus de 44 milliards d’euros d’actifs sécurisés |
| Trail of Bits | 2012 | Cryptographie, ZK, outils (Slither, Echidna) | Référence sur les revues bas niveau |
| Halborn | 2019, Miami | Sécurité offensive, réponse à incident | Plus de 600 clients, post-mortems mensuels |
| CertiK | 2018 | Volume, surveillance on-chain (Skynet) | Plus de 5 500 audits revendiqués |
| Zellic | 2022 | Solana, Rust, culture CTF | Montée en puissance hors EVM |
| Certora | 2018 | Vérification formelle | Preuves mathématiques, pas seulement relecture |
| Cantina / Spearbit | 2021 | Concours publics, marketplace | Environ 41 M€ versés à plus de 200 protocoles |
Halborn, l’école offensive
Fondé à Miami en 2019 par Steven Walbroehl et Rob Behnke, Halborn a d’abord grandi sans investisseur avant de lever 90 millions de dollars (environ 79 millions d’euros) en série A menée par Summit Partners à l’été 2022. Le cabinet traite chaque mission comme un test d’intrusion: au-delà de la relecture de code, il simule des attaques réelles, ingénierie sociale comprise, pour plus de 600 clients. Depuis la nomination de Jacques Boschung à sa direction en septembre 2024, Halborn accentue son virage vers les banques et les actifs tokenisés, tandis que ses rapports mensuels sur les hacks DeFi sont devenus une lecture de référence.
Sa signature reste la divulgation baptisée Rab13s. Lors d’un audit du code de Dogecoin en mars 2022, un ingénieur offensif de la maison, Hossam Mohamed, a mis au jour des failles touchant plus de 280 réseaux (Litecoin et Zcash compris) et menaçant plus de 25 milliards de dollars (environ 22 milliards d’euros) d’actifs: deux dénis de service et une exécution de code à distance. Dogecoin, Litecoin et Zcash ont corrigé avant la publication de mars 2023, mais de nombreux forks ne l’ont jamais fait.
CertiK et la critique du sceau
Aucun cabinet ne cristallise autant les débats que CertiK. La firme revendique plus de 5 500 audits et près de 83 000 vulnérabilités remontées, et pousse une offre de surveillance on-chain en temps réel (Skynet). Ce volume est aussi son talon d’Achille: des protocoles pourtant estampillés CertiK ont été piratés à répétition, et d’anciens clients comme des chercheurs reprochent à la marque de peser plus que la substance, les projets recherchant surtout le fameux «sceau d’approbation».
Deux épisodes ont marqué les esprits. En avril 2023, la plateforme Merlin, sur zkSync, était vidée de 1,8 million de dollars (environ 1,58 million d’euros) via un problème que CertiK avait justement marqué comme résolu après son audit. Surtout, en juin 2024, des employés de CertiK ont ponctionné environ 3 millions de dollars (2,6 millions d’euros) sur l’exchange Kraken «à des fins de recherche», avant de faire transiter une partie des fonds par Tornado Cash et d’attendre cinq jours pour un signalement complet; le responsable sécurité de Kraken a parlé d’extorsion plutôt que de hacking éthique.
CertiK a défendu sa démarche comme un test de sécurité légitime et affirme avoir restitué les fonds. L’affaire illustre une tension de fond du secteur: un audit n’est ni une assurance ni un blanc-seing, et le prestige d’un logo ne dit rien de la profondeur d’une revue.
Les concours d’audit rebattent les cartes
Face aux cabinets classiques, un autre modèle a mûri: le concours d’audit, où une foule de chercheurs indépendants (les «wardens») fouille le même code pendant une période limitée, récompensée selon les failles trouvées. Code4rena en fut le pionnier, mais la plateforme a annoncé sa fermeture progressive en mai 2026, Immunefi reprenant sa communauté et ses programmes. Sherlock, de son côté, adosse ses concours à une couverture de type assurance.
Le mouvement le plus notable vient de Cantina, le bras public de Spearbit, les deux marques ayant fusionné en 2025 en une pile de sécurité unique. La plateforme dit avoir versé environ 46,7 millions de dollars (près de 41 millions d’euros) à plus de 200 protocoles et a hébergé des concours géants, dont celui d’Uniswap v4 (environ 2,06 millions d’euros) et la revue du hard fork Pectra de la Fondation Ethereum (environ 1,75 million d’euros). Les chasseurs de primes, eux, se retrouvent sur Immunefi, où les récompenses grimpent jusqu’à environ 13 millions d’euros.
Audité ne veut pas dire sécurisé
Le cas le plus parlant est Balancer. Le 3 novembre 2025, environ 128,64 millions de dollars (près de 112 millions d’euros) ont été siphonnés de ses pools V2 en moins de trente minutes, sur Ethereum, Base, Polygon et Arbitrum. La cause: une erreur d’arrondi dans la fonction _upscaleArray, combinée à des opérations batchSwap savamment construites pour fausser le prix des jetons de pool, comme l’a détaillé Check Point Research. Or Balancer V2 avait été audité onze fois depuis 2021, ainsi que l’a rappelé le post-mortem de Halborn.
Ce n’est pas un cas isolé. En mai 2025, Cetus, sur Sui, perdait environ 223 millions de dollars (196 millions d’euros) sur un dépassement d’entier; en juillet 2025, GMX V1 laissait filer 40 millions de dollars (35 millions d’euros) sur une réentrance. Les auditeurs de Certora ont d’ailleurs disséqué l’attaque Balancer pour expliquer pourquoi la V3 y résiste.
La leçon chiffrée est nette. D’après TRM Labs, les exploits de smart contracts représentaient 125 des 207 incidents du semestre (environ 60 %), mais une part modeste des montants; à l’inverse, les compromissions d’infrastructure et d’exploitation (clés privées, chaîne de signature) ne pesaient que 15 % des incidents pour 76 % de la valeur volée. Autrement dit, l’audit traite le vecteur le plus fréquent, pas le plus coûteux, comme l’a montré le vol de 285 millions de dollars chez Drift. Un audit reste une photographie à un instant donné, sur un périmètre et un commit précis: les failles économiques, les défauts de conception et les zero-days passent souvent au travers, d’autant que les missions se bouclent en deux à quatre semaines.
Combien coûte un audit, et ce que l’on achète
Les prix se sont structurés en 2026. Une revue haut de gamme se facture entre 80 000 et 350 000 dollars (environ 70 000 à 307 000 euros) selon le périmètre; le milieu de gamme va de 25 000 à 80 000 dollars (22 000 à 70 000 euros), et l’entrée de gamme de 8 000 à 25 000 dollars (7 000 à 22 000 euros). Le prix achète surtout du temps d’expert: relecture manuelle, analyse statique, fuzzing et, au sommet, de la vérification formelle qui prouve mathématiquement certaines propriétés du code.
Le vrai enseignement de 2026, c’est qu’aucune ligne de défense ne suffit seule. Les protocoles sérieux empilent désormais plusieurs audits, un concours public, une prime de bug permanente et une surveillance on-chain, le tout assorti de timelocks sur les fonctions d’administration. TRM Labs le résume ainsi: il faut continuer d’investir dans les audits, puisque le code reste le vecteur le plus courant, tout en renforçant les contrôles qui protègent les gros transferts (gestion des clés, signature, validation).
Ce que disent, et taisent, l’AMF et MiCA
Côté réglementation française, l’échéance vient de tomber: depuis le 1er juillet 2026, seuls les prestataires agréés au titre de MiCA peuvent fournir des services sur crypto-actifs en France, l’AMF ayant rappelé la fin de la période transitoire pour les anciens PSAN. En parallèle, le règlement DORA s’applique aux prestataires depuis le 17 janvier 2025 et impose une infrastructure informatique résiliente, une politique de cybersécurité et des audits des systèmes d’information.
Attention toutefois au contresens: ni MiCA ni DORA n’imposent d’audit du code des smart contracts, et aucun des deux n’accrédite les auditeurs. DORA vise la résilience opérationnelle du prestataire de services, pas la relecture du Solidity d’un protocole. Et la DeFi pleinement décentralisée reste hors du champ de MiCA: sans prestataire identifié, un utilisateur lésé n’a aucun recours auprès de l’AMF. Dans ce cas, l’audit et le post-mortem publié après l’attaque constituent la seule «garantie» disponible.
Lire un rapport plutôt qu’un badge
Pour un investisseur ou une équipe, la bonne hygiène consiste à lire le rapport, pas le badge. Quelques réflexes utiles:
- Vérifier le périmètre et le hash de commit audité: le code déployé correspond-il vraiment à celui qui a été examiné?
- Regarder la gravité des points relevés et leur statut, corrigé ou seulement «reconnu».
- Noter la date de la revue et repérer toute modification du protocole survenue après coup.
- Croiser plusieurs cabinets, un concours public, une prime de bug active et une surveillance on-chain.
Le tampon d’un cabinet réputé réduit le risque; il ne l’annule pas. Drift et Balancer sont là pour le rappeler: en crypto, «audité» est un début de preuve, jamais un certificat d’invulnérabilité. Le meilleur signal de sérieux n’est pas le nombre de logos affichés, mais la franchise avec laquelle une équipe publie ses failles et les corrige.
Par la rédaction de HOGE Wire, cellule sécurité et exploits.