Au cours des six premiers mois de 2022, les projets Web3 ont perdu plus de 2 milliards de dollars en raison de piratages et d’exploits, plus que toute l’anne 2021 combine. C’est du moins ce que rvle une tude de la socit CertiK, spcialise dans l’audit et la scurit des blockchains, qui a publi jeudi son rapport trimestriel sur la scurit des projets Web3 couvrant le deuxime trimestre de cette anne.
Le rapport dresse un tableau sobre de lcosystme des cryptomonnaies toujours en proie des piratages, des escroqueries et des schmas d’hameonnage, tout en faisant face des menaces relativement nouvelles comme les attaques de prts flash. Les attaques par prts flash continuent d’tre un point sensible pour les projets web3, avec un total de 308 002 694 dollars perdus en 27 attaques.
Rappelons quun prt flash n’est rien de plus qu’un prt programm sur une Protocole DeFi (finance dcentralise) capable de proposer une mise disposition de fonds aux utilisateurs sans qu’ils aient besoin de fournir une garantie (ni en cryptomonnaies, ni d’aucune sorte) pour les fonds qui leur sont prts. Le protocole DeFi permet l’utilisateur d’accder certains fonds afin qu’il puisse les utiliser et les restituer au protocole dans la mme opration, y compris les commissions correspondantes.
En blockchain, c’est possible car il y a la possibilit de programmer une transaction pour qu’elle emprunte les fonds, les mobilise pour diffrents contrats intelligents d’autres protocoles, les oprations de change correspondantes sont effectues et, l’issue de cette mme transaction, l’argent du prt et ses commissions sont rintgrs dans le protocole initial tandis que l’utilisateur se retire avec ses gains. CertiK met particulirement l’accent sur cette dernire catgorie de menaces, qui a t cre par l’invention des prts flash.
Au total, le rapport de CertiK affirme qu’un total de 308 millions de dollars a t perdu travers 27 attaques de prts flash au deuxime trimestre 2022, une norme augmentation par rapport aux 14 millions de dollars seulement perdus cause des prts flash au premier trimestre.
Les 10 plus grandes attaques de prts flash du deuxime trimestre 2022
La frquence des attaques de phishing a galement augment entre le premier et le deuxime trimestre de cette anne, CertiK en ayant enregistr 290 au cours du trimestre le plus rcent, contre 106 au cours des trois premiers mois de l’anne. Discord a t le vecteur de la grande majorit des tentatives d’hameonnage, un signal de sa popularit continue en tant que rseau social de choix pour la scne des cryptomonnaies et des NFT, malgr les proccupations actuelles en matire de scurit.
Les rug pulls ontinuent d’tre l’une des formes d’attaque les plus populaires
Avec 37 462 472 dollars perdus en 90 attaques, les rug pulls continuent d’tre l’une des formes d’attaque les plus populaires. Il s’agit dune diminution de 16,7 % par rapport au premier trimestre. Le rug pull peut tre considr comme un vol par lequel le porteur dun projet, se finanant contre lmission dune cryptomonnaie, labandonne en prenant bien soin de garder pour lui largent des investisseurs. Il sagit gnralement de projets crs par des personnes malintentionnes dans lunique but descroquer des investisseurs peu prudents. Le deuxime trimestre de 2021 a vu un montant stupfiant de 2 650 234 662 dollars perdus dans des escroqueries de type rug pulls.
Parmi les nouvelles un peu plus positives, les « rug pulls » o les fondateurs d’un projet arrtent le dveloppement et s’enfuient avec les fonds sont de moins en moins courants, mme si des dizaines de millions de dollars ont encore t perdus de cette manire. CertiK a constat qu’un total de 37,46 millions de dollars ont t perdus cause des rug pulls au deuxime trimestre de cette anne, soit une baisse de 16,5 % par rapport au trimestre prcdent, bien que le rapport attribue une grande partie de cette baisse l’hiver cryptographique actuel, qui pourrait faire fuir les investisseurs moins expriments susceptibles de se laisser berner par des projets frauduleux.
tant donn que le flux d’argent frais entrant dans l’conomie du web3 se tarit, tout comme les types d’investisseurs non duqus qui sont susceptibles de devenir la proie des promesses de projets de mauvaise foi. En revanche, l’investisseur web3 moyen qui traverse le soi-disant crypto-hiver est la fois plus difficile duper, et beaucoup moins dispos se sparer de ses fonds durement gagns. Ajoutez cela les vnements dvastateurs qui ont eu lieu au deuxime trimestre, tels que Terra, Three Arrows Capital et les problmes d’insolvabilit de Celsius, il n’est pas tonnant de ne pas voir une rue de nouveaux investisseurs dans ce secteur.
CertiK a introduit CertiK KYC, qui fournit des contrles de vrification pour les quipes de projet en utilisant une combinaison de technologie d’IA et de contrles humains. Faire ainsi est essentiel la fois pour sauver les fonds des investisseurs, mais aussi pour scuriser l’cosystme web3 dans son ensemble , indique Certik.
Les exploits comprennent une large catgorie de piratage dans laquelle les attaquants ciblent les vulnrabilits qui sont spcifiques au code d’un projet ou son intersection avec d’autres infrastructures.
Contrairement aux autres catgorisations, les cybercriminels qui relvent des majeurs sont plus adapts un projet spcifique et, par consquent, plus difficile regrouper. Parfois, il peut s’agir de mots de passe compromis, quelques fois, les pirates ciblent les bogues et vulnrabilits dans le code, en exploitant des fonctions de monnayage, des problmes de failles dans la faon dont les mots-clefs sont utiliss.
tant donn l’ampleur de cette catgorie, il y a eu moins d’attaques que lorsque compares d’autres catgories plus troites qui ont eu lieu ce trimestre, rvle Certik. Cependant, elles sont galement reprsentes de manire disproportionne parmi les attaques les plus dvastatrices, avec 7 des 10 attaques les plus lucratives classes comme des exploits, et 50 % des dix principales attaques exploitant des bogues dans le code sous-jacent des projets.
Au deuxime trimestre, plus de 520 millions de dollars ont t perdus cause d’exploits. Il s’agit d’une baisse marque par rapport au premier trimestre, soit une baisse de 57 % par rapport 1,2 milliard de dollars, mais tonnamment, aucun pas de diminution du nombre d’attaques, qui a en fait lgrement augment, passant de 33 39.
Une grande partie de cette diffrence s’explique par l’attaque sismique de 624 millions de dollars contre le rseau Ronin, qui reprsente plus de la moiti des pertes dues aux exploits au premier trimestre. Cependant, mme sans l’attaque Ronin, les fonds moyens perdus par exploit sont en baisse de 19 millions 13,3 millions.
Rappelons que Ronin Network, une chane de connexion critique qui alimente Axie Infinity, a t attaque, ce qui a entran une perte de 173 600 Ethereum et 25,5 millions d’USDC, soit l’quivalent de plus de 600 millions de dollars.
Depuis que la brche s’est produite le 23 mars, les fonds vols ont t verss FTX, Huobi et CryptoCom, qui ont tous promis de prendre des mesures pour retrouver les fonds. Binance a dclar qu’elle avait temporairement suspendu les retraits et les dpts sur le rseau Ronin. Sky Mavis, la socit derrire Axie Infinity, a dclar qu’elle indemniserait les participants en ligne qui ont perdu des fonds pendant l’attaque contre les systmes de Ronin.
Selon l’analyse mene par PeckShield Inc, une socit de scurit blockchain et d’analyse de donnes, l’adresse principale du pirate « 0x098B716B8Aaf21512996dC57EB0615e2383E2f96 » contenait une quantit ngligeable d’ETH. Cela a servi de frais pour ses transactions ultrieures vers plusieurs portefeuilles sur des changes centraliss.
Plus tard, le cybercriminel a transfr les fonds vers de multiples portefeuilles inconnus. Ils les ont utiliss pour envoyer 1 220 ETH vers un compte sur FTX, 3 750 ETH vers trois adresses Huobi, et 1 ETH vers un portefeuille CryptoCom. Pour scuriser web3, CertiK, spcialise dans la scurit des blockchains, fournit un certain nombre d’outils conus pour aider les projets adopter une approche de bout en bout de leur scurit.
Selon certains partisans et ses fondateurs, le Web3 est une technologie internet, radicalement actualis, qui va dbloquer une nouvelle re de coopration et de crativit humaines. Il s’agira de prendre le Web2 actuel et d’y ajouter des blockchains. Cependant, pour Ewan Kirk, entrepreneur en technologie et fondateur de Cantab Capital Partners, iIl ne faut surtout pas croire au battage mdiatique autour du Web3 il ne va pas changer le monde. Le Web3 n’est qu’une nouvelle version de la technologie blockchain dont nous discutons depuis dix ans.
Rappelons que le terme Web3 a t invent en 2014 par Gavin Wood, un informaticien anglais. l’poque, il venait de participer au dveloppement de l’Ethereum, la blockchain qui sous-tend l’ether, la deuxime cryptomonnaie la plus populaire aprs le bitcoin en matire de notorit et de taille de march. Wood pense que la conception actuelle du We2 n’est pas une bonne solution, pour plusieurs raisons. L’une d’elles est qu’il est trs difficile de rglementer les nouvelles industries. Le gouvernement est lent, il lui faut un certain temps pour rattraper son retard. Une autre est que les rgulateurs sont imparfaits , a-t-il dclar.
La plupart des entreprises continueront utiliser le Web2 comme protocole d’exploitation standard pour les applications, au moins jusqu’en 2030. Le fondateur d’Ethereum, Gavin Wood, a mentionn le terme Web3 il n’y a pas si longtemps, et soutient que la centralisation n’est pas socialement tenable long terme. Rappelons que le terme Web3 a t invent en 2014 par Gavin Wood, un informaticien anglais. l’poque, il venait de participer au dveloppement de l’Ethereum, la blockchain qui sous-tend l’ether, la deuxime cryptomonnaie la plus populaire aprs le bitcoin en matire de notorit et de taille de march.
Une enqute rvle des tensions parmi les dveloppeurs sur le dveloppement et l’avenir potentiel de Web3 face aux proccupations croissantes concernant les cryptomonnaies et la blockchain. Ce sondage men auprs de dveloppeurs tente d’valuer les ractions Web3 dans son ensemble, et de fournir une image quilibre et plus complte de ce qui se passe exactement avec cette technologie.
Les crypto, NFT et blockchain sont devenus des termes tellement banals dans le zeitgeist social actuel, et ces trois termes ont t accueillis par des ractions trs diverses travers le monde, allant de la franche invitation la franche hostilit. De tels sujets et introductions technologiques peuvent avoir un impact assez important sur l’avenir financier prvisible du monde, et il est primordial de rester inform.
Alors que les fondateurs du Web3 estiment que les plateformes et les applications construites sur cette technologie ne seront pas dtenues par un gardien central, mais par les utilisateurs, qui gagneront leur part de proprit en contribuant au dveloppement et la maintenance de ces services, Neel Chauhan, Ingnieur Gnie logiciel chez Microsoft, soutien que le Web3 est en fait centralis, tout comme Web2 l’tait. Selon lui, le Web3 est juste une version pire de Web2.
Selon les fondateurs du web3 et certains de ses partisans, le Web3 est une technologie internet radicalement actualise, qui va dbloquer une nouvelle re de coopration et de crativit humaines. Il s’agira de prendre le Web2 actuel et d’y ajouter des blockchains. Cependant, pour Ewan Kirk, entrepreneur en technologie et fondateur de Cantab Capital Partners, il ne faut surtout pas croire au battage mdiatique autour du Web3 il ne va pas changer le monde. Le Web3 n’est qu’une nouvelle version de la technologie blockchain dont nous discutons depuis dix ans.
Source : Certik
Et vous ?
Qeuel est votre avis sur le sujet ?
Voir aussi :
Il est peu probable que le Web3 remplace le Web2 d’ici 2030, selon un rapport de Gartner
Le Web3 contient les prmices d’un cauchemar dystopique , selon Forrester Research