Bug bounty crypto: ces failles qui rapportent des millions
Des primes dépassant neuf millions d'euros récompensent les hackers qui signalent les failles avant les pirates. État des lieux d'un marché clé pour la crypto et ses investisseurs.
Dans la sécurité des protocoles blockchain, une faille bien placée peut valoir plus cher qu’un braquage. C’est le pari du bug bounty: rémunérer un chercheur pour qu’il signale une vulnérabilité plutôt que de l’exploiter. En quelques années, ces primes sont passées de quelques milliers d’euros à des records dépassant les neuf millions d’euros. Voici l’état d’un marché devenu central pour la crypto, et ce qu’il signifie concrètement pour les investisseurs francophones.
Le bug bounty, nouvelle ligne de défense de la crypto
Un bug bounty est un programme public par lequel un projet paie des « hackers éthiques », les white hats, pour découvrir et signaler ses failles avant que des acteurs malveillants ne les exploitent. Le principe existe depuis longtemps dans le logiciel classique, mais il prend une dimension particulière dans la crypto. Le code des protocoles est ouvert, souvent immuable une fois déployé, et il contrôle directement des fonds. Une seule erreur peut vider une trésorerie en quelques minutes, sans possibilité d’annuler la transaction.
L’arithmétique est simple. Selon les données compilées par Immunefi et relayées par The Block, les piratages et arnaques ont coûté plus de 1,4 milliard de dollars (environ 1,3 milliard d’euros) à l’écosystème en 2024. Face à de tels montants, verser une prime de quelques centaines de milliers d’euros à un chercheur honnête revient à payer une assurance. La plupart des programmes passent par des plateformes spécialisées qui classent les vulnérabilités par gravité et encadrent la divulgation responsable.
La frontière avec la criminalité reste mince. Un même bug peut rapporter une prime confortable s’il est signalé, ou un butin colossal s’il est exploité, parfois revendu sur le marché gris. C’est précisément cette tentation que les programmes cherchent à neutraliser, en rendant la divulgation responsable plus rentable, ou du moins moins risquée, que l’attaque.
Immunefi, le géant qui a franchi la barre des 100 millions
Lancée en décembre 2020, la plateforme Immunefi domine le segment. Elle a dépassé 100 millions de dollars de primes versées (environ 92 millions d’euros) un peu plus de trois ans après son ouverture, au terme de plus de 3 000 rapports rémunérés; les bugs de smart contracts y représentent 77,5 % des sommes, devant les failles de protocole (18,6 %) et les vulnérabilités web ou applicatives (3,8 %), selon The Block.
La plateforme revendique plus de 45 000 chercheurs et affirme avoir protégé plus de 25 milliards de dollars (environ 23 milliards d’euros) de fonds d’utilisateurs, sur des projets comme Polygon, Optimism, Chainlink ou MakerDAO. La prime médiane pour une faille critique tourne autour de 20 000 dollars (environ 18 400 euros); la moyenne, elle, est tirée vers le haut par une poignée de récompenses exceptionnelles.
Immunefi n’est pas seule sur ce terrain. Des plateformes comme Code4rena, Sherlock ou Cantina ont popularisé un modèle voisin, le concours d’audit, où des dizaines de chercheurs passent un code au crible sur une fenêtre limitée et se partagent une cagnotte. HackerOne et la française YesWeHack couvrent, de leur côté, un périmètre bien plus large que la seule crypto. Cette concurrence tire les récompenses vers le haut et professionnalise un métier longtemps resté informel.
Wormhole, Polygon, Optimism: l’anatomie des primes record
Quelques affaires ont fait basculer le bug bounty dans une autre échelle. Le tableau ci-dessous récapitule les versements les plus marquants, convertis en euros au taux courant (1 dollar valant environ 0,92 euro).
| Protocole | Année | Nature de la faille | Prime versée | Montant menacé |
|---|---|---|---|---|
| Wormhole | 2022 | Proxy non initialisé (auto-destruction) | ~9,2 M€ (10 M$) | Pont cross-chain |
| Aurora | 2022 | Faille critique du pont | ~5,5 M€ (6 M$) | Plusieurs dizaines de millions |
| Polygon | 2021 | Double-dépense (Plasma Bridge) | ~1,8 M€ (2 M$) | ~780 M€ (850 M$) |
| Optimism | 2022 | Création illimitée d’ETH | ~1,8 M€ (2 M$) | Théoriquement illimité |
Le record absolu revient à Wormhole. En février 2022, un chercheur connu sous le pseudonyme satya0x signale une faille critique dans le contrat du pont, un proxy non initialisé qui pouvait être auto-détruit et bloquer les fonds des utilisateurs. La correction est déployée le jour même et la prime atteint 10 millions de dollars, soit environ 9,2 millions d’euros, comme l’a confirmé The Block. Aucun fonds n’a été perdu.
Avant lui, le développeur Gerhard Wagner avait empoché 2 millions de dollars (environ 1,8 million d’euros) pour avoir décrit une faille de double-dépense sur le Plasma Bridge de Polygon. Le défaut autorisait à rejouer jusqu’à 223 fois une transaction de sortie, mettant en jeu près de 850 millions de dollars (environ 780 millions d’euros), selon Cointelegraph. La même année, l’ingénieur Jay Freeman, alias saurik, recevait lui aussi 2 millions de dollars d’Optimism après avoir trouvé le moyen de créer de l’ETH à l’infini. Le pont Aurora, côté Near, a quant à lui donné lieu à une prime de 6 millions de dollars (environ 5,5 millions d’euros), rapportée par Blockworks.
Comment se calcule une prime
Les programmes classent les vulnérabilités sur une échelle de gravité: critique, élevée, moyenne et faible. Le montant dépend de l’impact, c’est-à-dire des fonds réellement exposés, et de la probabilité d’exploitation. Pour les failles critiques, beaucoup de protocoles indexent la prime sur un pourcentage des fonds en jeu, souvent autour de 10 %, plafonné à un maximum annoncé à l’avance.
- La gravité est évaluée selon un référentiel commun, le plus souvent une adaptation du système Immunefi inspirée du standard CVSS.
- Le paiement intervient après vérification de la faille, reproduction du scénario et correction du code.
- Le chercheur doit en général passer des contrôles d’identité (KYC) et de conformité (listes OFAC) avant de toucher sa récompense.
Concrètement, un bon rapport ne se limite pas à décrire la faille. Il fournit une preuve de concept, parfois un correctif suggéré, et reproduit l’attaque sur un environnement de test. Plus la démonstration est complète, plus la prime se rapproche du plafond. Cela explique l’écart fréquent entre le maximum affiché, parfois 1 million voire 10 millions de dollars, et la somme finalement versée: le plafond ne se déclenche que si la preuve montre que la totalité des fonds était réellement à portée d’attaque.
Quand la prime tourne au bras de fer
Tout ne se passe pas toujours sans heurts. Plusieurs chercheurs ont publiquement dénoncé des offres jugées dérisoires au regard de la gravité signalée. Le cas le plus commenté de la période récente concerne un white hat affirmant avoir identifié une faille permettant de siphonner n’importe quel compte d’une blockchain de couche 1, avec plus de 500 millions de dollars potentiellement exposés, pour une récompense proposée très inférieure à ses attentes. Sans règles contraignantes, la fixation du montant reste une négociation, où le projet cherche à limiter la facture et le chercheur à valoriser son travail.
Ces différends ne sont pas anodins. Un chercheur mécontent peut publier la faille, tenter de la monétiser autrement, ou simplement renoncer, privant le protocole d’un signalement futur. Pour un projet, mal traiter un white hat constitue donc un risque de réputation autant qu’un risque de sécurité.
Safe Harbor: protéger le hacker pendant l’attaque
Le bug bounty classique suppose une faille trouvée à froid. Mais que se passe-t-il quand l’exploitation est déjà en cours? C’est l’objet du cadre Safe Harbor, lancé en 2024 par la Security Alliance (SEAL). Il autorise un white hat à intervenir pendant une attaque active pour mettre les fonds à l’abri, en lui offrant une protection juridique préalable.
Les règles sont précises, comme le détaille SEAL: les fonds récupérés doivent être restitués sous 72 heures, la prime est fixée à 10 % des sommes sauvées, plafonnée à 1 million de dollars (environ 920 000 euros), et le chercheur doit se soumettre aux contrôles KYC et OFAC. Selon Cointelegraph, le dispositif couvre déjà plus de 68 milliards de dollars d’actifs (environ 63 milliards d’euros) et a été adopté par Uniswap, Aave, Pendle ou PancakeSwap. Un fonds de défense juridique a aussi été créé pour aider les hackers blancs poursuivis malgré leur bonne foi.
France et Europe: un cadre légal encore mouvant
En France, le bug bounty n’est légal que dans le périmètre explicitement autorisé par l’organisation testée. Toute intrusion hors de ce cadre peut tomber sous le coup de l’article 323-1 du Code pénal, qui sanctionne l’accès frauduleux à un système de traitement automatisé de données, rappelle INCYBER. L’État lui-même s’est converti à la pratique: la Direction interministérielle du numérique fait tester FranceConnect, Tchap ou ProConnect via la plateforme française YesWeHack, avec des primes revalorisées pour les failles critiques, selon numerique.gouv.fr.
Pour les plateformes crypto, l’enjeu se double d’une dimension réglementaire. Depuis l’entrée en application de MiCA, le statut français de PSAN cède la place à celui de prestataire de services sur crypto-actifs (PSCA), sous la supervision de l’AMF, la période transitoire s’achevant le 1er juillet 2026. Un prestataire agréé doit disposer d’un système d’information résilient et faire réaliser un audit de sécurité par un prestataire qualifié PASSI. S’y ajoute le règlement européen DORA, applicable depuis le 17 janvier 2025, qui impose aux entités financières critiques des tests d’intrusion avancés (TLPT) tous les trois ans, comme le précise l’AMF. Le bug bounty complète ces obligations, sans les remplacer.
Ce que cela change pour les investisseurs
Pour un investisseur francophone, l’existence d’un programme de bug bounty actif est un signal positif, surtout lorsqu’il est ancien et qu’il a déjà révélé des failles critiques. La présence d’un protocole dans la galerie des white hats d’Immunefi, ou son adhésion à Safe Harbor, témoigne d’une culture de sécurité. Ce n’est pas pour autant une garantie absolue.
Les bug bounties ne couvrent que la surface connue du code. Or les plus grosses pertes viennent désormais d’attaques sur les contrôles d’accès et de fuites de clés privées, qui échappent souvent à l’audit des seuls smart contracts. Le taux de récupération des fonds volés s’est d’ailleurs effondré début 2025. Avant d’exposer son capital, il reste prudent de vérifier qu’un projet combine audits réguliers, programme de primes actif et, idéalement, couverture Safe Harbor.
2026, vers la professionnalisation des primes
Le marché des primes se structure. Les montants grimpent, les plafonds affichés atteignent désormais plusieurs millions de dollars, et les cadres juridiques mûrissent, de Safe Harbor à DORA. L’audit assisté par intelligence artificielle se généralise, tandis que les plateformes professionnalisent l’arbitrage des litiges. Restent deux angles morts: la question du plafond, qui nourrit les frustrations, et l’absence d’harmonisation légale européenne pour le hacking éthique. Tant qu’une faille rapportera davantage en étant signalée qu’en étant exploitée, l’équilibre penchera toutefois du bon côté.
Par la rédaction de HOGE Wire, desk sécurité et exploits.