17 milliards de dollars volés dans la crypto en une décennie — Voici où tout cet argent a réellement été perdu

Dix-sept milliards de dollars, c'est une somme d'argent stupéfiante dérobée à l'industrie des cryptomonnaies par des hackers sur une période de dix ans, comme le rapporte DefiLlama sur le montant volé dans l'industrie des cryptomonnaies depuis 2010. Chaque fois que je lis cette statistique, je prends un moment pour la laisser s'imprégner avant de la mettre en perspective. Dix-sept milliards de dollars, c'est une somme considérable. Le nombre "perdu" à travers toutes les différentes façons de voler des cryptomonnaies, telles que les exploits, les attaques de ponts (bridges), les protocoles de drainage et les piratages d'échange (certains beaucoup plus complexes que d'autres), renforce l'idée que cette industrie a un problème de sécurité. Ce qui a changé, c'est que ces incidents ont augmenté de manière exponentielle.

Comment ce chiffre se décompose

Un service nommé DefiLlama agrège les piratages dans de nombreux aspects du monde des cryptomonnaies, servant d'outil pour sensibiliser à ce sujet pertinent de l'industrie. Selon les données analysées par DefiLlama, 17 milliards de dollars ont été piratés dans divers aspects des cryptomonnaies au cours des dix dernières années. Cependant, ces montants en dollars ne sont pas uniformément répartis sur ces 10 ans ; des événements de piratage significatifs se sont produits au cours des trois années allant de 2021 à 2023, lorsque la valeur totale verrouillée (TVL) dans la finance décentralisée (DeFi) a monté en flèche, et tout aussi rapidement les tentatives de piratage ont augmenté, les attaquants ayant reconnu qu'une grande quantité d'argent était placée en DeFi avec seulement quelques mois d'audit et de tests de sécurité.

Le schéma des attaques est similaire. Un nouveau secteur de la crypto attire rapidement d'importants flux de capitaux – plus vite que l'argent ne peut être sécurisé par des audits de sécurité de code formels, plus vite que la technologie sécurisée ne peut être produite et testée, et plus vite que quiconque ne peut effectuer des tests de résistance complets pour voir ce qui se passe lorsque 100 millions de dollars d'actifs d'un individu sont stockés dans un contrat vieux de seulement trois semaines. Les attaquants surveillent ces afflux rapides d'argent et commencent à trouver des opportunités pour comprendre comment ils peuvent s'emparer de cet argent.

Les ponts cross-chain sont connus pour être une cible privilégiée des attaques à grande échelle. En 2022, l'exploit du pont Ronin a entraîné une perte de 625 millions de dollars. L'exploit Wormhole a causé 320 millions de dollars de pertes, et Nomad a subi 190 millions de dollars de pertes. L'une des principales raisons pour lesquelles les ponts cross-chain sont une cible si attrayante pour les attaquants potentiels est qu'ils stockent de multiples grands pools d'actifs des deux côtés des deux chaînes hôtes qu'ils connectent – ainsi, les ponts cross-chain peuvent être compris comme fonctionnant comme un coffre-fort qui se trouve à l'intersection de deux systèmes ; sécuriser cette intersection est donc très difficile.

L'anatomie d'un piratage crypto

Il existe de nombreuses façons différentes pour les hackers de voler des cryptomonnaies, et les regrouper toutes rend plus difficile de comprendre ce qui se passe réellement.

Certains de ces piratages se produisent au niveau du smart contract. Dans ce type de piratage, un attaquant tire parti d'une faille dans la façon dont un smart contract est codé et utilise cette faille pour effectuer une transaction financière que le smart contract devrait permettre. Une attaque de prêt flash (flash loan attack) est un exemple de ce type de piratage. Dans ce cas, un attaquant peut emprunter une grande quantité d'argent et ensuite, au cours de la même transaction, manipuler un oracle de prix ou un pool de liquidités, prendre de la valeur de la transaction, et restituer les fonds empruntés. Tout cela se produira en l'espace de quelques secondes – sans qu'il y ait de mot de passe volé ou d'utilisation non autorisée d'un serveur ; la seule chose qui s'est passée est que les mathématiques ont été utilisées contre elles-mêmes.

Un autre exemple d'attaque est lorsque quelqu'un obtient l'accès à une clé privée qui lui permet de contrôler la trésorerie d'un protocole ou de signer pour un pont (bridge). Une illustration marquante de cela est le piratage de Ronin, au cours duquel des hackers nord-coréens parrainés par l'État ont ciblé des employés individuels de Sky Mavis (le créateur d'Axie Infinity) pour obtenir suffisamment d'accès aux clés afin de vider le pont de ses fonds sans être détectés pendant six jours.

Ce détail devrait être contemplé : il a fallu une semaine entière pour que le plus grand piratage unique de l'histoire des cryptomonnaies soit détecté.

Ensuite, il y a les piratages d'échanges centralisés, comme ceux qui détiennent l'argent des clients. L'effondrement de FTX n'était pas dû à un piratage au sens traditionnel, mais les 400 millions de dollars retirés de ses portefeuilles quelques heures après qu'il ait déposé le bilan étaient presque certainement dus à un piratage. Mt. Gox a perdu 850 000 Bitcoins sur plusieurs années, et Mt. Gox n'a jamais été en mesure d'identifier ce qui se passait pendant que le piratage était en cours.

Qui sont les voleurs

Beaucoup des piratages les plus importants ne sont pas le fruit d'un opportunisme aléatoire. Le groupe Lazarus de Corée du Nord s'est vu attribuer des milliards de dollars de cryptomonnaies volées lors de plusieurs opérations. Le gouvernement américain a sanctionné différentes adresses de portefeuille associées à ce groupe, et un certain nombre de sociétés d'analyse de blockchain ont suivi le mouvement des actifs au sein d'une série de systèmes de blanchiment d'argent de plus en plus complexes (mixers, transferts de chaînes, et via des courtiers situés dans des juridictions mal réglementées).

Le vol de cryptomonnaies à ce niveau est devenu une source de revenus pour un État-nation officiellement sanctionné. C'est une chose étrange à dire, mais de nombreuses organisations de recherche indépendantes étayent cette affirmation.

Les autres piratages sont généralement perpétrés par des hackers moins sophistiqués (par exemple, des développeurs ayant trouvé un protocole non audité, des équipes cherchant à se surpasser, des personnes pratiquant le phishing auprès d'utilisateurs individuels).

Ce que l'industrie a et n'a pas résolu

Dans le monde d'aujourd'hui, les audits de sécurité sont désormais effectués sur chaque lancement de protocole sérieux comme pratique courante. Les programmes de bug bounty (chasse aux bugs rémunérée) sont un moyen pour les chercheurs d'obtenir une rémunération légitime pour la découverte de vulnérabilités avant que les hackers ne le fassent. De nombreux ponts (bridges) utilisent désormais des configurations de validateurs plus décentralisées pour atténuer le risque d'un point de défaillance unique.

Malgré ces efforts, les piratages continuent de se produire à une fréquence sans précédent. Bien qu'il y ait eu des efforts pour ralentir la fréquence des incidents uniques véritablement désastreux, les pertes cumulées totales continuent de croître.

La réalité est que de nombreux éléments de l'infrastructure crypto ont été initialement construits à la hâte, par de petites équipes, dans une précipitation compétitive pour mettre de l'argent en circulation sans avoir le temps de réfléchir pleinement aux scénarios "et si" du point de vue de l'attaquant qui dispose d'un temps illimité pour attaquer, ainsi que de moyens financiers illimités.

Cet environnement a coûté à l'industrie plus de 17 milliards de dollars au cours de la dernière décennie. Le résultat de la prochaine décennie dépendra de la capacité de l'industrie à tirer les leçons de ces erreurs, ou simplement à devenir meilleure dans l'enregistrement de ses post-mortems.