TL;DR
🔹 Plus de 27 000 milliards de dollars de crypto-monnaies ont été volés depuis 2012, selon SlowMist, une société de sécurité blockchain basée à Xiamen, les trois principaux types d'attaques étant les escroqueries, les attaques de prêts flash et les vulnérabilités des contrats.
🔹 Certaines failles de sécurité du Web3 proviennent de l'interaction des architectures Web3 et Web 2.0, tandis que d'autres sont inhérentes au fonctionnement de protocoles tels que la blockchain et d'autres fonctions.
🔹 Les nombreuses attaques et le nombre de vulnérabilités dues à l'absence de correctifs de sécurité ont donné naissance aux services de sécurité des contrats intelligents. Ces services de contrats intelligents fournissent des services de surveillance, de détection des problèmes, d'analyse des événements contractuels en temps réel et d'alertes.
🔹 Les pare-feu Web3 et les services de sécurité des contrats intelligents atténuent les failles de sécurité des cryptomonnaies en filtrant le trafic malveillant, en auditant les contrats intelligents et en fournissant des alertes et des avertissements de sécurité.
Introduction
Le nombre croissant d'escroqueries à la cryptomonnaie très médiatisées a mis en évidence la nécessité de solutions de sécurité Web3. Des célébrités ont été ciblées, notamment Bill Murray et Seth Green aux États-Unis, ainsi que la sensation mandopop taïwanaise Jay Chou, qui a perdu un précieux Bored Ape Yacht Club NFT à cause d'un site Web de phishing en avril. Plus de 27 000 milliards de dollars de crypto-monnaies ont été volés depuis 2012, selon SlowMist, une société de sécurité blockchain basée à Xiamen. Les trois principales attaques étaient les escroqueries, les attaques de prêts flash et les vulnérabilités des contrats. De nombreuses attaques de contrats intelligents ont eu lieu au fil des ans, coûtant aux victimes d'importantes sommes d'argent.
D'autre part, les hacks DAO et Parity Wallet sont bien connus. Le contrat intelligent DAO contenait des failles qui permettaient aux pirates de voler des fonds sur le réseau. En raison de cette faille, le pirate pouvait demander des fonds au contrat intelligent avant que le solde ne soit mis à jour.
Que sont les pare-feu Web3 ?
Le passage du Web 1.0 au Web 2.0 a exposé les utilisateurs et les entreprises à plusieurs nouvelles menaces pour la sécurité. Comme n'importe quel utilisateur pouvait publier du contenu sur l'internet, des entrées non fiables et malveillantes pouvaient plus facilement compromettre des sites web, fuir des données et infecter des bases de données. Alors que les gens commencent à explorer le nouveau monde du Web3, un nouvel ensemble de vulnérabilités de sécurité est apparu, dont certaines n'ont peut-être jamais été rencontrées auparavant. Un pare-feu Web3 est un dispositif de sécurité réseau Web3 qui cherche à aider les entreprises à lutter contre les cyberattaques qui ciblent fréquemment leurs produits et services sur ce nouveau terrain.
Risques de sécurité de Web3
Certaines failles de sécurité Web3 proviennent de l'interaction des architectures Web3 et Web 2.0, tandis que d'autres sont inhérentes au fonctionnement de protocoles tels que la blockchain et d'autres fonctions. Voici quelques exemples de risques de sécurité Web3 :
Absence de cryptage
Web3 est totalement décentralisé en théorie, et tout nœud connecté sur le réseau peut s'interfacer directement avec les données stockées. Dans la pratique, les frontaux d'applications Web3 continueront à s'appuyer sur les technologies Web 2.0 avec lesquelles les terminaux des utilisateurs peuvent facilement interagir. La plupart des frontaux d'applications Web3 utilisent des requêtes API vers le back-end Web3 pour la logique métier et le stockage des données.
De nombreuses requêtes d'API Web3 ne sont actuellement pas signées de manière cryptographique. Cela les expose à des attaques sur le chemin, à l'interception de données et à d'autres attaques, tout comme l'utilisation d'applications Web 2.0 HTTP non cryptées et non signées expose les utilisateurs à des fuites de données et à des attaques sur le chemin.
2. Piratage de contrats intelligents
Les contrats intelligents, comme tout autre code, peuvent présenter des failles de sécurité importantes qui exposent les données des utilisateurs ou, dans de nombreux cas, les fonds à des vulnérabilités. En décembre 2021, des défauts dans des contrats intelligents ont permis à des attaquants de voler environ 31 millions de dollars en monnaie numérique. En mai 2022, une faille dans l'algorithme TerraUSD a fait perdre à la crypto-monnaie environ 50 milliards de dollars de valeur.
3. Préoccupation concernant la vie privée
Contrairement au modèle Web 2.0, où l'accès aux bases de données peut être très restreint, les données d'une blockchain peuvent être stockées et consultées par tout nœud connecté. En fonction des données stockées, cela soulève de nombreux problèmes de sécurité et de confidentialité. Même si elles sont rendues anonymes pendant leur transit, des études montrent qu'aucune donnée n'est véritablement anonyme.
4. Attaque de pont et de protocole
Web3 n'est pas entièrement basé sur la blockchain. La blockchain, comme l'Internet, est constituée de couches construites les unes sur les autres. Un exemple est l'utilisation généralisée de "ponts", qui sont des protocoles permettant les transferts entre blockchains. Ces protocoles sont également vulnérables aux attaques. Par exemple, en février 2022, des voleurs ont utilisé le pont Wormhole pour voler environ 320 millions de dollars en crypto-monnaie.
5. Vol de portefeuilles et de comptes
Les médias sont inondés d'histoires d'attaques de crypto-monnaies ou de portefeuilles NFT. Le plus souvent, les attaquants obtiennent l'accès aux clés privées des utilisateurs ou dupent les utilisateurs pour qu'ils les remettent via le phishing. Si ces clés privées sont conservées localement sur l'appareil d'un utilisateur, elles peuvent être physiquement volées.
Que sont les contrats intelligents et les services de sécurité des contrats intelligents ?
Un contrat intelligent est un protocole de transaction conçu pour exécuter, contrôler ou documenter des événements et des actions juridiquement pertinents selon les termes d'un contrat ou d'un accord. Le contrat intelligent offre de nombreux avantages par rapport à l'ancien système, mais représente également des opportunités pour les attaquants qui cherchent à profiter des vulnérabilités. Les blockchains publiques exacerbent le problème de la sécurisation des contrats intelligents. Le code du contrat déployé est généralement impossible à modifier pour corriger les failles de sécurité. En outre, les actifs volés à partir de contrats intelligents sont compliqués à suivre et, dans la plupart des cas, irrémédiables en raison de leur immuabilité. Même si les chiffres varient, on estime que la valeur totale volée ou perdue en raison de failles de sécurité dans les contrats intelligents dépasse le milliard de dollars.
Ces attaques et le nombre de vulnérabilités dues à l'absence de correctifs de sécurité ont donné naissance aux services de sécurité des contrats intelligents. Ces services de contrats intelligents assurent la surveillance, la détection des problèmes, l'analyse des événements contractuels en temps réel et les alertes. Lorsque les parties au projet ont besoin de mettre à niveau les contrats, certains services de sécurité des contrats intelligents fournissent des outils d'assistance technique systématique tels que la mise à niveau des contrats et les migrations inter-chaînes.
Comment les pare-feu web3 et les services de sécurité des contrats intelligents atténuent les failles de sécurité des cryptomonnaies
Les pare-feu Web3 et les services de sécurité des contrats intelligents atténuent les failles de sécurité des cryptomonnaies de plusieurs façons. En voici quelques-unes :
1.Un écran entre les applications Web3 et l'Internet :
Lorsqu'un pare-feu Web3 est déployé, il crée une barrière entre l'application Web3 et l'Internet. Alors qu'un serveur proxy protège l'identité d'une machine cliente en utilisant un intermédiaire, un pare-feu Web3 est un type de proxy inverse qui protège le serveur de l'exposition en obligeant les clients à passer par le pare-feu avant d'atteindre le serveur.
2. Filtrer le trafic malveillant :
Un pare-feu Web3 fonctionne selon un ensemble de règles appelées "politiques". Ces politiques visent à protéger contre les vulnérabilités des applications en filtrant le trafic malveillant.
3. Alerte et avertissement de risque :
Les pare-feu Web3 aident les entreprises à lutter contre les cyberattaques en permettant aux fournisseurs de portefeuilles et aux dépositaires de fournir aux utilisateurs des avertissements en temps réel et le contexte des transactions.
4. Audit de sécurité des contrats intelligents
Comme d'autres applications logicielles, les contrats intelligents nécessitent des audits spécialisés pour remédier aux failles de sécurité. Les services de sécurité des contrats intelligents réalisent cet audit pour effectuer des évaluations périodiques de la sécurité, éviter des erreurs coûteuses et s'assurer que les contrats fonctionnent de manière optimale.
Un audit de contrat intelligent est un examen approfondi, ligne par ligne, du code sous-jacent d'un contrat. L'audit vise à détecter et à éliminer toutes les vulnérabilités potentielles et à confirmer la fiabilité des interactions du contrat.
Exemples de pare-feu web3 et de services de sécurité des contrats intelligents.
Blowfish
Blowfish est un fournisseur de services de sécurité et de pare-feu web3 qui s'attaque aux risques de cybersécurité associés aux interactions des utilisateurs finaux avec les blockchains. En raison de l'opacité des transactions par blockchain, les transactions malveillantes se sont multipliées. Blowfish développe un service qui analyse les transactions proposées pour détecter les intentions malveillantes au nom des portefeuilles, des dépositaires et des utilisateurs individuels avant de les signer et de les envoyer au réseau, ajoutant ainsi une couche de sécurité supplémentaire qui peut protéger les utilisateurs des attaques de phishing et des dApps malveillantes ou détournées.
2. Hacken
Hacken est une entreprise de cybersécurité fondée en 2017 pour faire du Web3 un endroit plus sûr. Elle fournit une suite compétitive de services professionnels de cybersécurité dans le monde entier aux entreprises technologiques et aux communautés cryptographiques.
3. Certik
CertiK est un fournisseur de services de sécurité Web3 et de contrats intelligents fondé en 2018. Il utilise la meilleure technologie de vérification formelle et d'IA de sa catégorie pour sécuriser et surveiller les smart contracts, les blockchains et les applications Web3.
4. OpenZeppelin
OpenZeppelin fournit des produits de sécurité pour le développement, l'automatisation et l'exploitation d'applications décentralisées. C'est l'un des principaux fournisseurs de technologies et de services de cybersécurité en crypto-monnaies, et les projets DeFi et NFT les plus populaires lui font confiance. OpenZeppelin, fondée en 2015 pour protéger l'économie ouverte, protège des dizaines de milliards de dollars de fonds pour les principales organisations de crypto comme Coinbase, Ethereum Foundation, Compound, Aave, le graphe et bien d'autres.
Conclusion
Le nombre sans cesse croissant de Web3, de contrats intelligents et de projets DFi contrôlant des fonds considérables a rendu les mesures de sécurité essentielles. Aussi pratiques et fiables que soient ces contrats intelligents, ils peuvent présenter de graves failles de sécurité s'ils ne sont pas soigneusement examinés, audités et surveillés. De même, de nombreuses requêtes API Web3 ne sont actuellement pas signées de manière cryptographique, ce qui les expose à des attaques. Les pare-feu Web3 et les services de sécurité des smart contracts atténuent ces failles en filtrant le trafic malveillant, en auditant les smart contracts et en émettant des alertes et des avertissements.
Auteur:
M. Olatunji, Chercheur Gate.io
Avertissement :
*Cet article ne représente que l'opinion des observateurs et ne constitue pas une suggestion d'investissement.
*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.