Au cours des six premiers mois de 2022, les projets Web3 ont perdu plus de 2 milliards de dollars en raison de piratages et d'exploits, plus que toute l'année 2021 combinée. C'est du moins ce que révèle une étude de la société CertiK, spécialisée dans l'audit et la sécurité des blockchains, qui a publié jeudi son rapport trimestriel sur la sécurité des projets Web3 couvrant le deuxième trimestre de cette année.Le rapport dresse un tableau sobre de l’écosystème des cryptomonnaies toujours en proie à des piratages, des escroqueries et des schémas d'hameçonnage, tout en faisant face à des menaces relativement nouvelles comme les attaques de prêts flash. Les attaques par prêts flash continuent d'être un point sensible pour les projets web3, avec un total de 308 002 694 dollars perdus en 27 attaques.
Rappelons qu’un prêt flash n'est rien de plus qu'un prêt programmé sur une Protocole DeFi (finance décentralisée) capable de proposer une mise à disposition de fonds aux utilisateurs sans qu'ils aient besoin de fournir une garantie (ni en cryptomonnaies, ni d'aucune sorte) pour les fonds qui leur sont prêtés. Le protocole DeFi permet à l'utilisateur d'accéder à certains fonds afin qu'il puisse les utiliser et les restituer au protocole dans la même opération, y compris les commissions correspondantes.
En blockchain, c'est possible car il y a la possibilité de programmer une transaction pour qu'elle emprunte les fonds, les mobilise pour différents contrats intelligents d'autres protocoles, les opérations de change correspondantes sont effectuées et, à l'issue de cette même transaction, l'argent du prêt et ses commissions sont réintégrés dans le protocole initial tandis que l'utilisateur se retire avec ses gains. CertiK met particulièrement l'accent sur cette dernière catégorie de menaces, qui a été créée par l'invention des prêts flash.
Au total, le rapport de CertiK affirme qu'un total de 308 millions de dollars a été perdu à travers 27 attaques de prêts flash au deuxième trimestre 2022, une énorme augmentation par rapport aux 14 millions de dollars seulement perdus à cause des prêts flash au premier trimestre.
Les 10 plus grandes attaques de prêts flash du deuxième trimestre 2022
La fréquence des attaques de phishing a également augmenté entre le premier et le deuxième trimestre de cette année, CertiK en ayant enregistré 290 au cours du trimestre le plus récent, contre 106 au cours des trois premiers mois de l'année. Discord a été le vecteur de la grande majorité des tentatives d'hameçonnage, un signal de sa popularité continue en tant que réseau social de choix pour la scène des cryptomonnaies et des NFT, malgré les préoccupations actuelles en matière de sécurité.
Les rug pulls ontinuent d'être l'une des formes d'attaque les plus populaires
Avec 37 462 472 dollars perdus en 90 attaques, les rug pulls continuent d'être l'une des formes d'attaque les plus populaires. Il s'agit d’une diminution de 16,7 % par rapport au premier trimestre. Le rug pull peut être considéré comme un vol par lequel le porteur d’un projet, se finançant contre l’émission d’une cryptomonnaie, l’abandonne en prenant bien soin de garder pour lui l’argent des investisseurs. Il s’agit généralement de projets créés par des personnes malintentionnées dans l’unique but d’escroquer des investisseurs peu prudents. Le deuxième trimestre de 2021 a vu un montant stupéfiant de 2 650 234 662 dollars perdus dans des escroqueries de type rug pulls.
Parmi les nouvelles un peu plus positives, les "rug pulls" où les fondateurs d'un projet arrêtent le développement et s'enfuient avec les fonds sont de moins en moins courants, même si des dizaines de millions de dollars ont encore été perdus de cette manière. CertiK a constaté qu'un total de 37,46 millions de dollars ont été perdus à cause des rug pulls au deuxième trimestre de cette année, soit une baisse de 16,5 % par rapport au trimestre précédent, bien que le rapport attribue une grande partie de cette baisse à l'hiver cryptographique actuel, qui pourrait faire fuir les investisseurs moins expérimentés susceptibles de se laisser berner par des projets frauduleux.
Étant donné que le flux d'argent frais entrant dans l'économie du web3 se tarit, tout comme les types d'investisseurs non éduqués qui sont susceptibles de devenir la proie des promesses de projets de mauvaise foi. En revanche, l'investisseur web3 moyen qui traverse le soi-disant « crypto-hiver » est à la fois plus difficile à duper, et beaucoup moins disposé à se séparer de ses fonds durement gagnés. Ajoutez à cela les événements dévastateurs qui ont eu lieu au deuxième trimestre, tels que Terra, Three Arrows Capital et les problèmes d'insolvabilité de Celsius, il n'est pas étonnant de ne pas voir une ruée de nouveaux investisseurs dans ce secteur.
CertiK a introduit CertiK KYC, qui fournit des contrôles de vérification pour les équipes de projet en utilisant une combinaison de technologie d'IA et de contrôles humains. « Faire ainsi est essentiel à la fois pour sauver les fonds des investisseurs, mais aussi pour sécuriser l'écosystème web3 dans son ensemble », indique Certik. Les exploits comprennent une large catégorie de piratage dans laquelle les attaquants ciblent les vulnérabilités qui sont spécifiques au code d'un projet ou à son intersection avec d'autres infrastructures.
Contrairement aux autres catégorisations, les cybercriminels qui relèvent des majeurs sont plus adaptés à un projet spécifique et, par conséquent, plus difficile à regrouper. Parfois, il peut s'agir de mots de passe compromis, quelques fois, les pirates ciblent les bogues et vulnérabilités dans le code, en exploitant des fonctions de monnayage, des problèmes de failles dans la façon dont les mots-clefs sont utilisés.
Étant donné l'ampleur de cette catégorie, il y a eu moins d'attaques que lorsque comparées à d'autres catégories plus étroites qui ont eu lieu ce trimestre, révèle Certik. Cependant, elles sont également représentées de manière disproportionnée parmi les attaques les plus dévastatrices, avec 7 des 10 attaques les plus lucratives classées comme des exploits, et 50 % des dix principales attaques exploitant des bogues dans le code sous-jacent des projets.
Au deuxième trimestre, plus de 520 millions de dollars ont été perdus à cause d'exploits. Il s'agit d'une baisse marquée par rapport au premier trimestre, soit une baisse de 57 % par rapport à 1,2 milliard de dollars, mais étonnamment, aucun pas de diminution du nombre d'attaques, qui a en fait légèrement augmenté, passant de 33 à 39.
Une grande partie de cette différence s'explique par l'attaque sismique de 624 millions de dollars contre le réseau Ronin, qui représente plus de la moitié des pertes dues aux exploits au premier trimestre. Cependant, même sans l'attaque Ronin, les fonds moyens perdus par exploit sont en baisse de 19 millions à 13,3 millions. Rappelons que Ronin Network, une chaîne de connexion critique qui alimente Axie Infinity, a été attaquée, ce qui a entraîné une perte de 173 600 Ethereum et 25,5 millions d'USDC, soit l'équivalent de plus de 600 millions de dollars.
Depuis que la brèche s'est produite le 23 mars, les fonds volés ont été versés à FTX, Huobi et CryptoCom, qui ont tous promis de prendre des mesures pour retrouver les fonds. Binance a déclaré qu'elle avait temporairement suspendu les retraits et les dépôts sur le réseau Ronin. Sky Mavis, la société derrière Axie Infinity, a déclaré qu'elle indemniserait les participants en ligne qui ont perdu des fonds pendant l'attaque contre les systèmes de Ronin.
Selon l'analyse menée par PeckShield Inc, une société de sécurité blockchain et d'analyse de données, l'adresse principale du pirate "0x098B716B8Aaf21512996dC57EB0615e2383E2f96" contenait une quantité négligeable d'ETH. Cela a servi de frais pour ses transactions ultérieures vers plusieurs portefeuilles sur des échanges centralisés.
Plus tard, le cybercriminel a transféré les fonds vers de multiples portefeuilles inconnus. Ils les ont utilisés pour envoyer 1 220 ETH vers un compte sur FTX, 3 750 ETH vers trois adresses Huobi, et 1 ETH vers un portefeuille CryptoCom. Pour sécuriser web3, CertiK, spécialisée dans la sécurité des blockchains, fournit un certain nombre d'outils conçus pour aider les projets à adopter une approche de bout en bout de leur sécurité.
Selon certains partisans et ses fondateurs, le Web3 est une technologie internet, radicalement actualisé, qui va débloquer une nouvelle ère de coopération et de créativité humaines. Il s'agira de prendre le Web2 actuel et d'y ajouter des blockchains. Cependant, pour Ewan Kirk, entrepreneur en technologie et fondateur de Cantab Capital Partners, iIl ne faut surtout pas croire au battage médiatique autour du Web3 « il ne va pas changer le monde. Le Web3 n'est qu'une nouvelle version de la technologie blockchain dont nous discutons depuis dix ans. »
Rappelons que le terme Web3 a été inventé en 2014 par Gavin Wood, un informaticien anglais. À l'époque, il venait de participer au développement de l'Ethereum, la blockchain qui sous-tend l'ether, la deuxième cryptomonnaie la plus populaire après le bitcoin en matière de notoriété et de taille de marché. Wood pense que la conception actuelle du We2 n'est pas une bonne solution, pour plusieurs raisons. « L'une d'elles est qu'il est très difficile de réglementer les nouvelles industries. Le gouvernement est lent, il lui faut un certain temps pour rattraper son retard. Une autre est que les régulateurs sont imparfaits », a-t-il déclaré.
La plupart des entreprises continueront à utiliser le Web2 comme protocole d'exploitation standard pour les applications, au moins jusqu'en 2030. Le fondateur d'Ethereum, Gavin Wood, a mentionné le terme Web3 il n'y a pas si longtemps, et soutient que la centralisation n'est pas socialement tenable à long terme. Rappelons que le terme Web3 a été inventé en 2014 par Gavin Wood, un informaticien anglais. À l'époque, il venait de participer au développement de l'Ethereum, la blockchain qui sous-tend l'ether, la deuxième cryptomonnaie la plus populaire après le bitcoin en matière de notoriété et de taille de marché.
Une enquête révèle des tensions parmi les développeurs sur le développement et l'avenir potentiel de Web3 face aux préoccupations croissantes concernant les cryptomonnaies et la blockchain. Ce sondage mené auprès de développeurs tente d'évaluer les réactions à Web3 dans son ensemble, et de fournir une image équilibrée et plus complète de ce qui se passe exactement avec cette technologie.
Les crypto, NFT et blockchain sont devenus des termes tellement banals dans le zeitgeist social actuel, et ces trois termes ont été accueillis par des réactions très diverses à travers le monde, allant de la franche invitation à la franche hostilité. De tels sujets et introductions technologiques peuvent avoir un impact assez important sur l'avenir financier prévisible du monde, et il est primordial de rester informé.
Alors que les fondateurs du Web3 estiment que les plateformes et les applications construites sur cette technologie ne seront pas détenues par un gardien central, mais par les utilisateurs, qui gagneront leur part de propriété en contribuant au développement et à la maintenance de ces services, Neel Chauhan, Ingénieur Génie logiciel chez Microsoft, soutien que le Web3 est en fait centralisé, tout comme Web2 l'était. Selon lui, le Web3 est juste une version pire de Web2.
Selon les fondateurs du web3 et certains de ses partisans, le Web3 est une technologie internet radicalement actualisée, qui va débloquer une nouvelle ère de coopération et de créativité humaines. Il s'agira de prendre le Web2 actuel et d'y ajouter des blockchains. Cependant, pour Ewan Kirk, entrepreneur en technologie et fondateur de Cantab Capital Partners, il ne faut surtout pas croire au battage médiatique autour du Web3 « il ne va pas changer le monde. Le Web3 n'est qu'une nouvelle version de la technologie blockchain dont nous discutons depuis dix ans. »
Source : Certik
Et vous ?
Qeuel est votre avis sur le sujet ?Voir aussi :
Web3 : une économie de la fraude en valeurs mobilières financée par le capital-risque, selon un analyste de la blockchain Le Web3 est centralisé et inefficace, selon Neel Chauhan, Ingénieur logiciel chez Microsoft, alors que pour son fondateur, Gavin Wood, les applications Web3 s'exécutent sur des réseaux décentralisés Il est peu probable que le Web3 remplace le Web2 d'ici 2030, selon un rapport de Gartner « Le Web3 contient les prémices d'un cauchemar dystopique », selon Forrester Research 
