En 2022, le secteur des cryptomonnaies a subi une centaine d’attaques informatiques. En ciblant les protocoles les plus fragiles de la finance décentralisée, les pirates ont siphonné des milliards de dollars… et ils ne comptent pas s’arrêter là.
Le monde des cryptomonnaies vient de vivre une année très compliquée. Tandis que plusieurs acteurs de taille mordaient la poussière, le nombre de piratages a explosé à la hausse. L’an dernier, les experts en sécurité blockchain de Beosin ont identifié 167 attaques majeures visant des services du Web 3. Lors de ces attaques, 3,6 milliards de dollars ont été siphonnés par les pirates. C’est une hausse de 47,4 % par rapport à 2021.
« La criminalité sur la blockchain […] a connu une augmentation significative par rapport à 2021 », explique Beosin dans son rapport annuel.
Plusieurs études corroborent le constat de Beosin. Dès le premier semestre de l’année dernière, Chainalysis, l’un des spécialistes de l’analyse de la blockchain, a remarqué une forte hausse des piratages. En six mois, les pirates ont volé 1,9 milliard de dollars d’actifs numériques.
Les cibles préférées des hackers en 2022
Sans surprise, ce sont surtout les protocoles de la finance décentralisée (DeFi) qui ont essuyé le plus d’attaques. Beosin a comptabilisé 113 piratages de services de la DeFi, soit plus de 65 % des attaques identifiées l’an dernier. Les projets DeFi ont perdu un total de 950 millions de dollars à cause des hackers en 2022.
Parmi les cibles privilégiées des pirates, on trouve aussi les ponts (bridges). Un pont de cryptomonnaies, aussi évoqué sous le nom de passerelle, permet de transférer des actifs d’une blockchain à une autre. Ces protocoles sont actuellement essentiels au fonctionnement de l’écosystème, morcelé en un océan de réseaux. Lors de ces opérations, les attaquants exploitent une faille de sécurité découverte dans le protocole pour siphonner les fonds en transit.
Beosin a identifié 12 attaques majeures contre des ponts en 2022. Cette douzaine d’incidents s’est soldée par la disparition de 1,89 milliard de dollars. Les ponts sont les cibles les plus lucratives pour les pirates. Ces attaques font d’ailleurs partie du top 10 des piratages de l’année dernière.
Le hack de Ronin, un réseau parallèle à la blockchain Ethereum, reste le piratage le plus lucratif de l’année écoulée. Au terme de l’attaque, survenue en mars, les voleurs ont disparu avec 624 millions de dollars. Les fonds ont été volés par le biais du pont qui permet de relier la blockchain Ronin à d’autres chaînes de blocs. Les hackers nord-coréens du groupe Lazarus sont soupçonnés d’avoir fomenté toute l’opération. Citons également le piratage de Wormhole (326 millions), de Nomad (190 millions) ou encore d’Harmony (100 millions de dollars).
Après les hacks, les fonds sont généralement transférés sur un service de mixage de cryptomonnaies, qui permet d’anonymiser les transactions et de brouiller les pistes. Tornado Cash, l’un des principaux mixeurs du secteur, a vu passer 38,7 % de tous les fonds piratés en 2022, soit 1 396 millions de dollars. Placé sur liste noire par les États-Unis l’été dernier, Tornado Cash a enregistré une baisse des transferts, au profit de solutions alternatives.
À lire aussi : après la catastrophe FTX, que nous réserve la crypto en 2023 ?
Pas de repos pour les pirates en 2023
La tendance devrait se poursuivre en 2023. Interrogé par CoinTelegraph, Tommy Deng, directeur général de Beosin, estime que les pirates continueront de s’en prendre aux infrastructures de la finance décentralisée à l’avenir :
« Tant qu’il y aura un intérêt pour le marché des cryptomonnaies, le nombre de pirates ne diminuera pas ».
Pour se protéger des cybercriminels, l’expert recommande aux développeurs du Web3 de redoubler de prudence. Selon lui, trop de protocoles DeFi « ne passent pas par des tests de sécurité complets avant d’être mis en ligne ». De facto, les pirates sont les premiers à découvrir d’éventuelles failles de sécurité… et n’hésitent évidemment pas à les exploiter au détriment des utilisateurs.
« 2022 a été une année difficile pour la sécurité de la blockchain en général, et imposent des exigences plus élevées et plus urgentes en 2023 », déclare Beosin, regrettant « les lacunes de l’industrie ».
CertiK, une société spécialisée dans les audits de sécurité de projets basés sur la blockchain, partage l’analyse de Beosin. Pour Certik, « nous ne prévoyons donc pas de répit ». La firme ajoute que les passerelles de crypto-actifs resteront les cibles de prédilection des criminels. De nouvelles attaques devraient être organisées par des groupes de hackers, malgré le marché baissier appelé à se prolonger.
Source :
Medium