{"id":164,"date":"2026-07-04T22:24:51","date_gmt":"2026-07-04T22:24:51","guid":{"rendered":"https:\/\/hoge.gg\/fr\/audit-smart-contracts-palmares-2026-limites\/"},"modified":"2026-07-04T22:24:51","modified_gmt":"2026-07-04T22:24:51","slug":"audit-smart-contracts-palmares-2026-limites","status":"publish","type":"post","link":"https:\/\/hoge.gg\/fr\/audit-smart-contracts-palmares-2026-limites\/","title":{"rendered":"Audit de smart contracts: le palmar\u00e8s 2026 et ses limites"},"content":{"rendered":"<p class=\"wp-block-paragraph\">En avril 2026, environ 285 millions de dollars, soit pr\u00e8s de 250 millions d&#8217;euros, ont quitt\u00e9 Drift Protocol, la principale plateforme de contrats perp\u00e9tuels de Solana, en une douzaine de minutes. D\u00e9tail troublant pour toute l&#8217;industrie de la s\u00e9curit\u00e9: le code a fait exactement ce pour quoi il avait \u00e9t\u00e9 programm\u00e9. Deux audits ind\u00e9pendants avaient valid\u00e9 le protocole quelques semaines plus t\u00f4t. Les smart contracts n&#8217;avaient aucune faille; ils ont simplement ex\u00e9cut\u00e9 des instructions frauduleuses transmises par des attaquants disposant d&#8217;un acc\u00e8s qu&#8217;ils n&#8217;auraient jamais d\u00fb obtenir.<\/p><p class=\"wp-block-paragraph\">Cet \u00e9cart entre code audit\u00e9 et fonds r\u00e9ellement en s\u00e9curit\u00e9 est devenu le grand sujet de 2026. Les cabinets d&#8217;audit de smart contracts vendent une forme de confiance, et leur tampon orne les sites des protocoles comme un label de qualit\u00e9. Reste \u00e0 savoir ce que valent vraiment ces cabinets, comment on les compare et, surtout, ce qu&#8217;ils couvrent. Tour d&#8217;horizon du march\u00e9 de l&#8217;audit crypto, de ses classements, de ses controverses et de ses angles morts, au moment o\u00f9 l&#8217;AMF boucle le passage des acteurs fran\u00e7ais sous MiCA.<\/p><h2 class='wp-block-heading'>Pourquoi passer les auditeurs au crible<\/h2><p class=\"wp-block-paragraph\">La premi\u00e8re chose \u00e0 comprendre, c&#8217;est qu&#8217;aucune autorit\u00e9 ne surveille les surveillants. Ni aux \u00c9tats-Unis ni en Europe, aucun r\u00e9gulateur n&#8217;accr\u00e9dite les auditeurs de smart contracts, n&#8217;impose leur intervention ou ne fixe une norme pour la relecture de code. Il n&#8217;existe pas d&#8217;\u00e9quivalent du PCAOB, le gendarme am\u00e9ricain des cabinets comptables, pour le Solidity. La qualit\u00e9 d&#8217;un auditeur est donc \u00abpolic\u00e9e\u00bb par la seule r\u00e9putation: la solidit\u00e9 de ses post-mortems, son historique de failles trouv\u00e9es (ou manqu\u00e9es) et la pr\u00e9sence de ses chercheurs dans les concours publics.<\/p><p class=\"wp-block-paragraph\">Le contexte rend l&#8217;exercice urgent. Selon le cabinet d&#8217;analyse <a href='https:\/\/www.trmlabs.com\/resources\/blog\/h1-2026-crypto-hacks-reach-record-high-as-losses-fall-below-usd-1-billion'>TRM Labs<\/a>, le premier semestre 2026 a battu un record avec 207 attaques recens\u00e9es, pour un montant vol\u00e9 d&#8217;environ 972 millions de dollars (pr\u00e8s de 853 millions d&#8217;euros), soit moins de la moiti\u00e9 des 2,3 milliards de dollars du premier semestre 2025. Le nombre d&#8217;incidents a plus que doubl\u00e9, mais leur co\u00fbt unitaire a recul\u00e9, un signal sur lequel nous reviendrons.<\/p><h2 class='wp-block-heading'>Le palmar\u00e8s 2026: qui sont les grands cabinets<\/h2><p class=\"wp-block-paragraph\">Le haut du march\u00e9 s&#8217;organise autour de quelques noms, chacun fort d&#8217;une sp\u00e9cialit\u00e9. OpenZeppelin, actif depuis 2015, tire sa cr\u00e9dibilit\u00e9 de sa biblioth\u00e8que de contrats, le socle logiciel le plus d\u00e9ploy\u00e9 de l&#8217;\u00e9cosyst\u00e8me: Aave, Uniswap, Compound et des milliers d&#8217;autres s&#8217;appuient dessus. Le cabinet revendique plus de 44 milliards d&#8217;euros d&#8217;actifs s\u00e9curis\u00e9s et a lanc\u00e9 en 2025 des outils de g\u00e9n\u00e9ration de code assist\u00e9s par IA. Trail of Bits, plus ancien, fait r\u00e9f\u00e9rence sur la cryptographie, les preuves \u00e0 divulgation nulle (ZK) et l&#8217;ing\u00e9nierie bas niveau; il maintient des outils open source r\u00e9put\u00e9s comme Slither, Echidna et Medusa.<\/p><p class=\"wp-block-paragraph\">Viennent ensuite Halborn, sp\u00e9cialiste de la s\u00e9curit\u00e9 offensive, et CertiK, qui mise sur le volume et la surveillance continue. Autour d&#8217;eux gravitent des acteurs plus cibl\u00e9s: Zellic sur Solana et Rust, Certora sur la v\u00e9rification formelle, Consensys Diligence sur la DeFi EVM. Le classement 2026 dress\u00e9 par <a href='https:\/\/sherlock.xyz\/post\/top-10-best-smart-contract-auditing-companies-in-2026'>Sherlock<\/a> recoupe largement cette hi\u00e9rarchie. Le tableau ci-dessous r\u00e9sume les profils.<\/p><figure class='wp-block-table'><table><thead><tr><th>Cabinet<\/th><th>Cr\u00e9ation<\/th><th>Point fort<\/th><th>Rep\u00e8re 2026<\/th><\/tr><\/thead><tbody><tr><td>OpenZeppelin<\/td><td>2015<\/td><td>Biblioth\u00e8que de r\u00e9f\u00e9rence, DeFi EVM<\/td><td>Plus de 44 milliards d&#8217;euros d&#8217;actifs s\u00e9curis\u00e9s<\/td><\/tr><tr><td>Trail of Bits<\/td><td>2012<\/td><td>Cryptographie, ZK, outils (Slither, Echidna)<\/td><td>R\u00e9f\u00e9rence sur les revues bas niveau<\/td><\/tr><tr><td>Halborn<\/td><td>2019, Miami<\/td><td>S\u00e9curit\u00e9 offensive, r\u00e9ponse \u00e0 incident<\/td><td>Plus de 600 clients, post-mortems mensuels<\/td><\/tr><tr><td>CertiK<\/td><td>2018<\/td><td>Volume, surveillance on-chain (Skynet)<\/td><td>Plus de 5 500 audits revendiqu\u00e9s<\/td><\/tr><tr><td>Zellic<\/td><td>2022<\/td><td>Solana, Rust, culture CTF<\/td><td>Mont\u00e9e en puissance hors EVM<\/td><\/tr><tr><td>Certora<\/td><td>2018<\/td><td>V\u00e9rification formelle<\/td><td>Preuves math\u00e9matiques, pas seulement relecture<\/td><\/tr><tr><td>Cantina \/ Spearbit<\/td><td>2021<\/td><td>Concours publics, marketplace<\/td><td>Environ 41 M\u20ac vers\u00e9s \u00e0 plus de 200 protocoles<\/td><\/tr><\/tbody><\/table><\/figure><h2 class='wp-block-heading'>Halborn, l&#8217;\u00e9cole offensive<\/h2><p class=\"wp-block-paragraph\">Fond\u00e9 \u00e0 Miami en 2019 par Steven Walbroehl et Rob Behnke, Halborn a d&#8217;abord grandi sans investisseur avant de lever 90 millions de dollars (environ 79 millions d&#8217;euros) en s\u00e9rie A men\u00e9e par Summit Partners \u00e0 l&#8217;\u00e9t\u00e9 2022. Le cabinet traite chaque mission comme un test d&#8217;intrusion: au-del\u00e0 de la relecture de code, il simule des attaques r\u00e9elles, ing\u00e9nierie sociale comprise, pour plus de 600 clients. Depuis la nomination de Jacques Boschung \u00e0 sa direction en septembre 2024, Halborn accentue son virage vers les banques et les actifs tokenis\u00e9s, tandis que ses rapports mensuels sur les hacks DeFi sont devenus une lecture de r\u00e9f\u00e9rence.<\/p><p class=\"wp-block-paragraph\">Sa signature reste la divulgation baptis\u00e9e <a href='https:\/\/www.halborn.com\/disclosures\/rab13s-vulnerability-dogecoin'>Rab13s<\/a>. Lors d&#8217;un audit du code de Dogecoin en mars 2022, un ing\u00e9nieur offensif de la maison, Hossam Mohamed, a mis au jour des failles touchant plus de 280 r\u00e9seaux (Litecoin et Zcash compris) et mena\u00e7ant plus de 25 milliards de dollars (environ 22 milliards d&#8217;euros) d&#8217;actifs: deux d\u00e9nis de service et une ex\u00e9cution de code \u00e0 distance. Dogecoin, Litecoin et Zcash ont corrig\u00e9 avant la publication de mars 2023, mais de nombreux forks ne l&#8217;ont jamais fait.<\/p><h2 class='wp-block-heading'>CertiK et la critique du sceau<\/h2><p class=\"wp-block-paragraph\">Aucun cabinet ne cristallise autant les d\u00e9bats que CertiK. La firme revendique plus de 5 500 audits et pr\u00e8s de 83 000 vuln\u00e9rabilit\u00e9s remont\u00e9es, et pousse une offre de surveillance on-chain en temps r\u00e9el (Skynet). Ce volume est aussi son talon d&#8217;Achille: des protocoles pourtant estampill\u00e9s CertiK ont \u00e9t\u00e9 pirat\u00e9s \u00e0 r\u00e9p\u00e9tition, et d&#8217;anciens clients comme des chercheurs <a href='https:\/\/thedefiant.io\/news\/hacks\/former-certik-clients-question-security-firm-s-stronghold-on-protocol-audits'>reprochent<\/a> \u00e0 la marque de peser plus que la substance, les projets recherchant surtout le fameux \u00absceau d&#8217;approbation\u00bb.<\/p><p class=\"wp-block-paragraph\">Deux \u00e9pisodes ont marqu\u00e9 les esprits. En avril 2023, la plateforme Merlin, sur zkSync, \u00e9tait vid\u00e9e de 1,8 million de dollars (environ 1,58 million d&#8217;euros) via un probl\u00e8me que CertiK avait justement marqu\u00e9 comme r\u00e9solu apr\u00e8s son audit. Surtout, en juin 2024, des employ\u00e9s de CertiK ont ponctionn\u00e9 environ 3 millions de dollars (2,6 millions d&#8217;euros) sur l&#8217;exchange Kraken \u00ab\u00e0 des fins de recherche\u00bb, avant de faire transiter une partie des fonds par Tornado Cash et d&#8217;attendre cinq jours pour un signalement complet; le responsable s\u00e9curit\u00e9 de Kraken a parl\u00e9 d&#8217;<a href='https:\/\/www.dlnews.com\/articles\/defi\/certik-returns-kraken-funds-after-sending-to-tornado-cash\/'>extorsion<\/a> plut\u00f4t que de hacking \u00e9thique.<\/p><p class=\"wp-block-paragraph\">CertiK a <a href='https:\/\/www.certik.com\/resources\/blog\/certik-statement-on-kraken-vulnerability'>d\u00e9fendu<\/a> sa d\u00e9marche comme un test de s\u00e9curit\u00e9 l\u00e9gitime et affirme avoir restitu\u00e9 les fonds. L&#8217;affaire illustre une tension de fond du secteur: un audit n&#8217;est ni une assurance ni un blanc-seing, et le prestige d&#8217;un logo ne dit rien de la profondeur d&#8217;une revue.<\/p><h2 class='wp-block-heading'>Les concours d&#8217;audit rebattent les cartes<\/h2><p class=\"wp-block-paragraph\">Face aux cabinets classiques, un autre mod\u00e8le a m\u00fbri: le concours d&#8217;audit, o\u00f9 une foule de chercheurs ind\u00e9pendants (les \u00abwardens\u00bb) fouille le m\u00eame code pendant une p\u00e9riode limit\u00e9e, r\u00e9compens\u00e9e selon les failles trouv\u00e9es. Code4rena en fut le pionnier, mais la plateforme a annonc\u00e9 sa fermeture progressive en mai 2026, Immunefi reprenant sa communaut\u00e9 et ses programmes. Sherlock, de son c\u00f4t\u00e9, adosse ses concours \u00e0 une couverture de type assurance.<\/p><p class=\"wp-block-paragraph\">Le mouvement le plus notable vient de Cantina, le bras public de Spearbit, les deux marques ayant fusionn\u00e9 en 2025 en une pile de s\u00e9curit\u00e9 unique. La plateforme dit avoir vers\u00e9 environ 46,7 millions de dollars (pr\u00e8s de 41 millions d&#8217;euros) \u00e0 plus de 200 protocoles et a h\u00e9berg\u00e9 des concours g\u00e9ants, dont celui d&#8217;Uniswap v4 (environ 2,06 millions d&#8217;euros) et la revue du hard fork Pectra de la Fondation Ethereum (environ 1,75 million d&#8217;euros). Les chasseurs de primes, eux, se retrouvent sur <a href='https:\/\/immunefi.com\/'>Immunefi<\/a>, o\u00f9 les r\u00e9compenses grimpent jusqu&#8217;\u00e0 environ 13 millions d&#8217;euros.<\/p><h2 class='wp-block-heading'>Audit\u00e9 ne veut pas dire s\u00e9curis\u00e9<\/h2><p class=\"wp-block-paragraph\">Le cas le plus parlant est Balancer. Le 3 novembre 2025, environ 128,64 millions de dollars (pr\u00e8s de 112 millions d&#8217;euros) ont \u00e9t\u00e9 siphonn\u00e9s de ses pools V2 en moins de trente minutes, sur Ethereum, Base, Polygon et Arbitrum. La cause: une erreur d&#8217;arrondi dans la fonction _upscaleArray, combin\u00e9e \u00e0 des op\u00e9rations batchSwap savamment construites pour fausser le prix des jetons de pool, comme l&#8217;a d\u00e9taill\u00e9 <a href='https:\/\/research.checkpoint.com\/2025\/how-an-attacker-drained-128m-from-balancer-through-rounding-error-exploitation\/'>Check Point Research<\/a>. Or Balancer V2 avait \u00e9t\u00e9 audit\u00e9 onze fois depuis 2021, ainsi que l&#8217;a rappel\u00e9 le <a href='https:\/\/www.halborn.com\/blog\/post\/explained-the-balancer-hack-november-2025'>post-mortem de Halborn<\/a>.<\/p><p class=\"wp-block-paragraph\">Ce n&#8217;est pas un cas isol\u00e9. En mai 2025, Cetus, sur Sui, perdait environ 223 millions de dollars (196 millions d&#8217;euros) sur un d\u00e9passement d&#8217;entier; en juillet 2025, GMX V1 laissait filer 40 millions de dollars (35 millions d&#8217;euros) sur une r\u00e9entrance. Les auditeurs de <a href='https:\/\/www.certora.com\/blog\/breaking-down-the-balancer-hack'>Certora<\/a> ont d&#8217;ailleurs diss\u00e9qu\u00e9 l&#8217;attaque Balancer pour expliquer pourquoi la V3 y r\u00e9siste.<\/p><p class=\"wp-block-paragraph\">La le\u00e7on chiffr\u00e9e est nette. D&#8217;apr\u00e8s TRM Labs, les exploits de smart contracts repr\u00e9sentaient 125 des 207 incidents du semestre (environ 60 %), mais une part modeste des montants; \u00e0 l&#8217;inverse, les compromissions d&#8217;infrastructure et d&#8217;exploitation (cl\u00e9s priv\u00e9es, cha\u00eene de signature) ne pesaient que 15 % des incidents pour 76 % de la valeur vol\u00e9e. Autrement dit, l&#8217;audit traite le vecteur le plus fr\u00e9quent, pas le plus co\u00fbteux, comme l&#8217;a montr\u00e9 le vol de 285 millions de dollars chez <a href='https:\/\/www.coindesk.com\/business\/2026\/04\/30\/north-korean-hackers-are-moving-faster-they-account-for-76-of-crypto-exploits-this-year-trmlabs'>Drift<\/a>. Un audit reste une photographie \u00e0 un instant donn\u00e9, sur un p\u00e9rim\u00e8tre et un commit pr\u00e9cis: les failles \u00e9conomiques, les d\u00e9fauts de conception et les zero-days passent souvent au travers, d&#8217;autant que les missions se bouclent en deux \u00e0 quatre semaines.<\/p><h2 class='wp-block-heading'>Combien co\u00fbte un audit, et ce que l&#8217;on ach\u00e8te<\/h2><p class=\"wp-block-paragraph\">Les prix se sont structur\u00e9s en 2026. Une revue haut de gamme se facture entre 80 000 et 350 000 dollars (environ 70 000 \u00e0 307 000 euros) selon le p\u00e9rim\u00e8tre; le milieu de gamme va de 25 000 \u00e0 80 000 dollars (22 000 \u00e0 70 000 euros), et l&#8217;entr\u00e9e de gamme de 8 000 \u00e0 25 000 dollars (7 000 \u00e0 22 000 euros). Le prix ach\u00e8te surtout du temps d&#8217;expert: relecture manuelle, analyse statique, fuzzing et, au sommet, de la v\u00e9rification formelle qui prouve math\u00e9matiquement certaines propri\u00e9t\u00e9s du code.<\/p><p class=\"wp-block-paragraph\">Le vrai enseignement de 2026, c&#8217;est qu&#8217;aucune ligne de d\u00e9fense ne suffit seule. Les protocoles s\u00e9rieux empilent d\u00e9sormais plusieurs audits, un concours public, une prime de bug permanente et une surveillance on-chain, le tout assorti de timelocks sur les fonctions d&#8217;administration. TRM Labs le r\u00e9sume ainsi: il faut continuer d&#8217;investir dans les audits, puisque le code reste le vecteur le plus courant, tout en renfor\u00e7ant les contr\u00f4les qui prot\u00e8gent les gros transferts (gestion des cl\u00e9s, signature, validation).<\/p><h2 class='wp-block-heading'>Ce que disent, et taisent, l&#8217;AMF et MiCA<\/h2><p class=\"wp-block-paragraph\">C\u00f4t\u00e9 r\u00e9glementation fran\u00e7aise, l&#8217;\u00e9ch\u00e9ance vient de tomber: depuis le 1er juillet 2026, seuls les prestataires agr\u00e9\u00e9s au titre de MiCA peuvent fournir des services sur crypto-actifs en France, l&#8217;AMF ayant <a href='https:\/\/www.amf-france.org\/en\/news-publications\/news\/amf-reminds-digital-asset-service-providers-transitional-period-allowing-them-continue-providing'>rappel\u00e9<\/a> la fin de la p\u00e9riode transitoire pour les anciens PSAN. En parall\u00e8le, le r\u00e8glement DORA s&#8217;applique aux prestataires depuis le 17 janvier 2025 et impose une infrastructure informatique r\u00e9siliente, une politique de cybers\u00e9curit\u00e9 et des audits des syst\u00e8mes d&#8217;information.<\/p><p class=\"wp-block-paragraph\">Attention toutefois au contresens: ni MiCA ni DORA n&#8217;imposent d&#8217;audit du code des smart contracts, et aucun des deux n&#8217;accr\u00e9dite les auditeurs. DORA vise la r\u00e9silience op\u00e9rationnelle du prestataire de services, pas la relecture du Solidity d&#8217;un protocole. Et la DeFi pleinement d\u00e9centralis\u00e9e reste hors du champ de MiCA: sans prestataire identifi\u00e9, un utilisateur l\u00e9s\u00e9 n&#8217;a aucun recours aupr\u00e8s de l&#8217;AMF. Dans ce cas, l&#8217;audit et le post-mortem publi\u00e9 apr\u00e8s l&#8217;attaque constituent la seule \u00abgarantie\u00bb disponible.<\/p><h2 class='wp-block-heading'>Lire un rapport plut\u00f4t qu&#8217;un badge<\/h2><p class=\"wp-block-paragraph\">Pour un investisseur ou une \u00e9quipe, la bonne hygi\u00e8ne consiste \u00e0 lire le rapport, pas le badge. Quelques r\u00e9flexes utiles:<\/p><ul class='wp-block-list'><li>V\u00e9rifier le p\u00e9rim\u00e8tre et le hash de commit audit\u00e9: le code d\u00e9ploy\u00e9 correspond-il vraiment \u00e0 celui qui a \u00e9t\u00e9 examin\u00e9?<\/li><li>Regarder la gravit\u00e9 des points relev\u00e9s et leur statut, corrig\u00e9 ou seulement \u00abreconnu\u00bb.<\/li><li>Noter la date de la revue et rep\u00e9rer toute modification du protocole survenue apr\u00e8s coup.<\/li><li>Croiser plusieurs cabinets, un concours public, une prime de bug active et une surveillance on-chain.<\/li><\/ul><p class=\"wp-block-paragraph\">Le tampon d&#8217;un cabinet r\u00e9put\u00e9 r\u00e9duit le risque; il ne l&#8217;annule pas. Drift et Balancer sont l\u00e0 pour le rappeler: en crypto, \u00abaudit\u00e9\u00bb est un d\u00e9but de preuve, jamais un certificat d&#8217;invuln\u00e9rabilit\u00e9. Le meilleur signal de s\u00e9rieux n&#8217;est pas le nombre de logos affich\u00e9s, mais la franchise avec laquelle une \u00e9quipe publie ses failles et les corrige.<\/p><p class=\"wp-block-paragraph\">Par la r\u00e9daction de HOGE Wire, cellule s\u00e9curit\u00e9 et exploits.<\/p>","protected":false},"excerpt":{"rendered":"<p>En avril 2026, Drift a perdu 250 millions d&#8217;euros malgr\u00e9 deux audits. Panorama des cabinets d&#8217;audit crypto: classements, controverses et angles morts, de CertiK \u00e0 Halborn.<\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12],"tags":[],"class_list":["post-164","post","type-post","status-publish","format-standard","hentry","category-security-exploits"],"_links":{"self":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/164","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/comments?post=164"}],"version-history":[{"count":0,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/posts\/164\/revisions"}],"wp:attachment":[{"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/media?parent=164"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/categories?post=164"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hoge.gg\/fr\/wp-json\/wp\/v2\/tags?post=164"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}