Guide opérationnel. Mis à jour le 15 février 2026.
Les ponts inter-chaînes ont perdu plus de 2 milliards de dollars en piratages entre 2021 et 2024. Pourtant, ils restent une infrastructure nécessaire pour ceux qui opèrent dans un écosystème multi-chaînes : déplacer l’ETH d’Ethereum vers Arbitrum, amener BTC à Solana, en utilisant les actifs Polygon sur Base. Comprendre comment ils fonctionnent et où ils se cassent est essentiel avant de les utiliser.
Comment fonctionne un pont : lock-and-mint vs pool de liquidité
Le mécanisme fondamental d’un pont est de résoudre un problème structurel : les blockchains ne communiquent pas nativement entre elles. Un actif sur Ethereum ne peut pas « bouger » sur Solana — il ne peut être représenté sur Solana que par un jeton synthétique qui atteste de son existence ailleurs.
Verrouillage et menthe
Dans le modèle lock-and-mint, les jetons sont verrouillés sur un contrat sur la chaîne source et les jetons « encapsulés » équivalents sont extraits sur la chaîne de destination. Lorsque vous souhaitez revenir, les jetons emballés sont brûlés et les jetons originaux déverrouillés. Le point critique est le contrat qui contient les jetons bloqués : il s’agit d’un pot de miel d’un milliard de dollars, généralement contrôlé par un multisig. Ronin Bridge (Axie Infinity) a été vidé pour 625 millions de dollars en 2022 car 5 des 9 clés du multisig ont été compromises par l’attaquant.
Pont de pool de liquidité
Les ponts basés sur des pools de liquidité (Across, Stargate, Connext) utilisent une approche différente : au lieu d’extraire des jetons synthétiques, ils déplacent la liquidité native entre les pools de différentes chaînes. Un relais fournit d’avance des fonds sur la chaîne de destination et est remboursé par la chaîne d’origine. L’avantage est que le token reçu est natif et non enveloppé. L’inconvénient est la dépendance à l’égard de la liquidité disponible dans les pools : dans des conditions de stress, la liquidité peut s’avérer insuffisante.
Interopérabilité native : IBC et CCIP
Le protocole IBC (Inter-Blockchain Communication) de l’écosystème Cosmos est le cas d’interopérabilité le plus proche du natif : il s’agit d’un protocole standardisé au niveau du consensus, pas d’un contrat supplémentaire. Le risque des contrats intelligents est donc moindre, mais ne s’applique que dans l’écosystème Cosmos. Chainlink CCIP est une tentative d’apporter une norme similaire à la chaîne EVM, avec validation par les opérateurs Chainlink. En février 2026, il était encore relativement nouveau.
Le cadre de piratage : pourquoi les ponts sont si vulnérables
Les ponts concentrent le risque de manière extrême : un seul contrat (ou multisig) peut contenir des milliards de dollars d’actifs bloqués par des milliers d’utilisateurs. Les principaux hacks ont exploité différentes vulnérabilités :
| Pont | Année | Perte | Cause |
|---|---|---|---|
| Ronin (Axie) | 2022 | 625 millions de dollars | Définir le compromis de la clé du validateur (5/9) |
| Trou de ver | 2022 | 320 millions de dollars | Bug dans la vérification de signature sur Solana |
| Nomade | 2022 | 190 millions de dollars | Erreur d’initialisation : n’importe quel message était valide |
| Harmonie Horizon | 2022 | 100 millions de dollars | Compromis clé (2/5 multisig) |
| Multichaîne | 2023 | 126 millions de dollars | Accès au serveur avec les clés CEO MPC |
Le schéma commun : multisig avec peu de clés, centralisation opérationnelle et contrats complexes avec beaucoup de surface d’attaque. Tous les hacks mentionnés ci-dessus auraient pu être évités grâce à une architecture de sécurité différente.
Évaluer la sécurité d’un pont avant de l’utiliser
Tous les ponts n’ont pas le même profil de risque. Questions à poser :
Qui contrôle le multisig ?
Vérifiez combien de signatures sont requises, qui sont les signataires et si leur identité est vérifiable. Un multisig 2/5 avec des signataires anonymes est structurellement beaucoup plus risqué qu’un multisig 8/12 avec des institutions identifiables et des audits publics. Recherchez ces informations dans la documentation technique du projet, pas dans le marketing.
Le contrat est-il audité et vérifié ?
Un audit n’élimine pas le risque, mais il réduit considérablement la probabilité de bugs classiques. Vérifiez que le code sur la chaîne correspond à celui audité (Etherscan indique si un contrat est “vérifié”). Vérifiez que l’audit est récent et issu d’une signature reconnue (Trail of Bits, Spearbit, OpenZeppelin, Halborn).
Existe-t-il un bug bounty actif ?
Les protocoles sérieux maintiennent des bug bounties sur Immunefi ou des plateformes similaires. Un pont valant des milliards sans bug bounties est un mauvais signe : cela signifie que personne n’a un intérêt économique à trouver les bugs avant les attaquants.
Procédure d’exploitation sécuritaire pour l’utilisation d’un pont
- Vérifiez l’URL du pont : Les ponts de phishing sont courants. Utilisez uniquement des URL provenant de sources officielles (site de protocole, lien dans le livre blanc). Ne cliquez pas sur les liens de DM, Twitter ou Discord.
- Vérifiez l’adresse du contrat : Comparez l’adresse du contrat avec celle publiée dans la documentation officielle sur GitHub ou Docs.
- Tête avec une petite quantité : avant de combler 50 000 $, testez avec 100 $. Vérifiez que l’actif arrive à temps et dans la bonne quantité.
- Vérifiez le total des frais : inclure le gaz sur les deux chaînes, les frais de pont et les dérapages. Le coût total réel peut être nettement supérieur aux frais nominaux.
- Notez le hachage avant et arrière tx : en cas de problème (pont bloqué), le support demandera les deux hashs. Sans ces données, la récupération est presque impossible.
- N’utilisez pas le pont en cas de forte congestion : les transactions bloquées à mi-chemin (actifs qui ont quitté la chaîne A mais ne sont pas encore arrivés sur la chaîne B) sont une source de stress. À utiliser pendant les périodes de faible congestion pour réduire le risque de dépassement de délai.
Ponts les plus utilisés en 2026 : comparaison récapitulative
| Pont | Modèle | Chaînes prises en charge | Notes de sécurité |
|---|---|---|---|
| À travers le protocole | Pool de liquidités + oracle UMA | Principaux EVM | Audité, bug bounty actif |
| Porte des étoiles (CoucheZéro) | Pool de liquidité omnichain | 20+ chaînes | Dépendance à LayerZero oracle/relayer |
| Pont d’arbitrage natif | Lock-and-mint (optimiste) | Ethereum ↔ Arbitre | Sécurité maximale, 7 jours pour le retrait |
| Pont d’optimisme natif | Lock-and-mint (optimiste) | Ethereum ↔ OP | Même modèle Arbitrum, retrait 7 jours |
| Portail (Wormhole v2) | Serrure et menthe + gardiens | 20+ chaînes | Reconstruit après hack 2022, 19 gardiens |
Pour les déplacements vers/depuis le réseau principal Ethereum vers L2, les ponts natifs des L2 eux-mêmes (Arbitrum, OP, zkSync) sont généralement le chemin le plus sûr, bien que plus lent pour le retrait. Pour voyager rapidement sans la période de défi, Across et Stargate sont les options les plus utilisées en février 2026.
Cas pratique : passer d’Ethereum à Arbitrum
Pour concrétiser les indications opérationnelles, voici le chemin étape par étape pour amener l’ETH du réseau principal Ethereum vers Arbitrum One, en utilisant le pont natif.
- Connectez-vous au pont officiel Arbitrum : allez sur bridge.arbitrum.io – vérifiez toujours que l’URL est correcte. Le site officiel ne demande jamais de phrase de départ ou de clé privée.
- Connectez le portefeuille : utilisez MetaMask ou équivalent. L’interface détecte automatiquement si vous êtes sur le réseau Ethereum.
- Sélectionnez le montant : entrez le montant d’ETH à combler. Tenez compte des frais de gaz Ethereum pour votre transaction de dépôt – consultez Etherscan Gas Tracker pour connaître le moment optimal.
- Effectuer le dépôt : signe la transaction. La transaction est incluse dans un bloc Ethereum (1 à 5 minutes). Attendez la confirmation.
- Attendez le crédit sur Arbitrum : après confirmation sur Ethereum, ETH apparaît sur Arbitrum généralement dans les 10 à 15 minutes. Dans certains cas, cela peut prendre jusqu’à 30 minutes pendant les périodes de chargement.
- Vérifiez sur Arbiscan : Veuillez vérifier votre adresse sur arbiscan.io pour confirmer la réception. Le montant reçu doit être identique au montant envoyé moins les frais de caution gaz.
Pour le retrait (Arbitrum → Ethereum), le processus est inversé mais nécessite la période de challenge de 7 jours. Si vous avez rapidement besoin d’ETH sur Ethereum, utilisez plutôt un pont tiers comme Across Protocol qui avance les fonds vers la chaîne de destination et est remboursé plus tard – généralement en 2 à 5 minutes.
Comment gérer un pont bloqué
Un pontage « bloqué » – la transaction a quitté la chaîne A mais l’actif n’est pas arrivé sur la chaîne B – est l’un des scénarios les plus stressants. Il se résout souvent avec un certain temps, mais nécessite parfois une intervention.
Première chose à faire : attendre
La plupart des ponts ont un délai d’attente de 30 à 60 minutes avant que la transaction échoue finalement. Ne faites rien dans les premières heures – le système se résout souvent tout seul. Vérifiez l’état de la transaction sur l’explorateur de chaîne d’origine (le dépôt est-il confirmé ?) et sur l’explorateur de chaîne de destination (le crédit est-il arrivé ?).
Si la transaction est confirmée sur la chaîne A mais n’est pas arrivée sur la chaîne B
La plupart des ponts ont une fonction de « réclamation manuelle » : accédez à l’interface du pont, recherchez « transactions en attente » ou « réclamation », et vous pouvez demander manuellement du crédit en utilisant le hachage de la transaction de dépôt. Sur Arbitrum Bridge, la section « Transactions » affiche les transactions en attente et permet une réclamation manuelle.
Contacter l’assistance
Si la revendication manuelle ne fonctionne pas, l’étape suivante est la prise en charge officielle du pont, toujours via des canaux vérifiés (Discord officiel, pas DM). Vous aurez besoin de : le hachage de la transaction de dépôt, les adresses source et de destination, les chaînes source et de destination, le montant et l’horodatage. Sans ces données, la récupération est impossible. Les ponts sérieux disposent d’équipes d’assistance qui peuvent débloquer manuellement les transactions légitimes bloquées en raison de problèmes techniques.
L’évolution vers une interopérabilité native
Le modèle des ponts supplémentaires – des contrats séparés qui servent d’intermédiaires entre les chaînes existantes – est une solution de compromis. L’orientation de l’industrie est vers l’interopérabilité native, où les chaînes communiquent directement au niveau du protocole sans intermédiaires externes.
IBC (Communication Inter-Blockchain) dans l’écosystème Cosmos, il s’agit du modèle d’interopérabilité native le plus mature. Toute chaîne qui implémente la norme IBC peut communiquer directement avec n’importe quelle autre chaîne IBC sans contrats de relais supplémentaires. Le résultat est une expérience de transition nettement plus sécurisée et plus rapide, mais elle ne fonctionne qu’au sein de l’écosystème Cosmos, pas avec Ethereum.
XCMP à pois propose un modèle similaire au sein de l’écosystème Polkadot : les parachains communiquent via Cross-Chain Message Passing garanti par la chaîne relais. Sûr mais limité à l’écosystème.
LayerZero et trous de ver ils tentent d’apporter une interopérabilité entre les écosystèmes (entre Ethereum, Solana, Cosmos, etc.) tout en maintenant une sécurité adéquate. En février 2026, les deux ont subi des incidents importants dans le passé mais ont reconstruit leur architecture de sécurité. La confiance est basée sur les antécédents des 12 à 18 derniers mois.
La vision à long terme – une signature unique, des actifs disponibles partout sans friction – est encore loin. En 2026, pour les opérations importantes, il est conseillé d’utiliser des ponts L2 natifs ou, pour plus de rapidité, des protocoles ayant un long historique de sécurité et des bug bounties actifs. La complexité de l’interopérabilité entre chaînes restera une source de risque pendant des années.
Coûts de transition totaux : calcul réaliste
Le coût apparent d’un pont – les frais indiqués dans l’interface – ne représente souvent qu’une partie du coût total. Comprendre le coût total est nécessaire pour évaluer si le pontage est économiquement rentable pour l’opération que vous envisagez.
Composantes du coût total
Gaz sur la chaîne source : la transaction de dépôt nécessite du gaz. Sur le réseau principal Ethereum, dans des conditions normales, cela coûte entre 5 et 20 $ ; en cas de congestion, il peut dépasser 50 $. Sur L2 (Arbitrum, OP), le gaz n’a pas d’importance (0,01-0,10 $).
Frais de transition : le protocole retient un pourcentage du montant à titre de frais. À travers le protocole : variable de 0,05 à 0,15 %. Stargate : 0,1-0,06 % selon le niveau. Ponts natifs Arbitrum/OP : pas de frais de protocole.
Glissement pour les ponts avec pools de liquidités : Sur les piscines de profondeur limitée, combler de grandes quantités peut provoquer un glissement important. Vérifiez la profondeur du pool pour la paire que vous souhaitez relier avant de l’exécuter.
Gaz sur la chaîne de destination (le cas échéant) : certains ponts nécessitent une transaction de réclamation sur la chaîne de destination, avec du gaz supplémentaire.
Exemple pratique : relier 10 000 USDC d’Ethereum à Arbitrum via le protocole Across coûte environ : 10 $ de gaz sur Ethereum + 15 $ de frais Across (0,15 %) = 25 $ au total, soit 0,25 %. Au lieu de cela, l’utilisation du pont natif Arbitrum (lent, 7 jours pour un retrait dans la direction opposée) ne coûte que le gaz de dépôt (~ 10 $) sans frais de protocole.
Quand ne pas utiliser un pont
Tous les transferts inter-chaînes ne nécessitent pas un pont. Dans certaines situations, des alternatives plus sûres ou moins chères existent.
Si vous souhaitez simplement passer d’un échange à une autre chaîne : de nombreux échanges permettent les retraits directement vers la chaîne souhaitée. Au lieu de retirer l’USDC vers Ethereum, puis de passer à Polygon, retirez l’USDC directement vers Polygon depuis l’échange – élimine complètement l’étape de pont.
Si le montant est faible et les frais disproportionnés : faire le pont entre 100 $ et 25 $ de coûts totaux n’a aucun sens. Attendez de regrouper une plus grande quantité ou utilisez des chaînes où les coûts du gaz sont déjà faibles.
Si vous recherchez uniquement une opportunité à court terme : considérez le coût aller-retour. Si vous devez faire des allers-retours pour saisir une opportunité, les coûts de transition doivent être inférieurs à l’opportunité elle-même, et pas seulement au coût aller simple.
Vérifier la fiabilité d’un pont avant de l’utiliser
Avant de transférer des fonds via un pont, il est essentiel d’effectuer un minimum de diligence raisonnable. Les critères à évaluer sont clairs : présence d’un audit de sécurité récent (idéalement de Trail of Bits, Zellic ou OpenZeppelin), TVL actuelle supérieure à 50 millions de dollars comme indicateur de confiance du marché, historique des incidents et temps de réponse de l’équipe en cas de bugs, et un programme de bug bounty actif sur des plateformes comme Immunefi.
Un pont sans audit public représente un risque inacceptable quel que soit le rendement promis. Les 320 millions de dollars perdus sur le pont Wormhole en 2022 et les 625 millions de dollars sur le pont Ronin étaient tous deux des systèmes qui ont fonctionné pendant des mois sans vulnérabilités identifiées par des audits indépendants. La différence entre un pont sécurisé et un pont non sécurisé n’est souvent pas visible en surface : elle est cachée dans le code des contrats de validation.
Pour les transferts importants, une stratégie prudente consiste à diviser votre capital en plusieurs transactions plus petites au lieu de tout transférer en même temps, réduisant ainsi le risque de perte totale en cas d’exploit.
Conclusion
Les ponts sont une infrastructure nécessaire dans un écosystème multi-chaînes, mais ils comportent un risque concentré qui n’a pas d’équivalent dans les autres secteurs DeFi. La règle principale est de proportionner le montant ponté à la solidité du pont utilisé : pour les montants importants, n’utilisez que des ponts L2 natifs ou des protocoles ayant un long historique de sécurité. Testez toujours avec de petites quantités. Documentez tout. Et ne vous précipitez jamais.
A lire aussi: Les cycles de marché du Bitcoin : le guide complet pour chaque phase. · Analyse on-chain : le guide pour lire le marché crypto
