Les piratages dans l’univers crypto continuent de faire des ravages, avec des pertes qui dépassent désormais les 1,5 milliard de dollars. L’attaque récente de Bybit soulève de sérieuses questions sur la sécurité des plateformes et l’efficacité des programmes de bug bounty. Alors que les exchanges crypto s’efforcent de renforcer leur cybersécurité, des experts pointent du doigt des failles structurelles dans ces programmes de récompenses.
Un bug à l’origine du piratage historique de Bybit
L’attaque contre Bybit a mis en lumière une faille de sécurité que les programmes de bug bounty avaient exclue de leur champ d’application. Selon Marwan Hachem, Responsable des opérations de FearsOff, l’origine du piratage provient d’un bug que la plateforme Safe — fournisseur du portefeuille multisignature de Bybit — ne considérait pas comme éligible aux récompenses des pirates éthiques. « Ce qu’ils considéraient comme hors périmètre a conduit au plus grand piratage crypto de l’histoire », a déclaré Hachem.
En d’autres termes, des vulnérabilités critiques étaient connues mais ignorées car elles ne faisaient pas partie des failles récompensées par les programmes de bug bounty. Les chiffres sont accablants. Le piratage de Bybit représente plus de 1,4 milliard de dollars de pertes en cryptos, tandis que l’attaque sur Infini s’élève à 49 millions de dollars. Ce qui choque également, c’est la faiblesse des primes proposées par Bybit aux pirates éthiques : 4 000 $ sur son site officiel et jusqu’à 10 000 $ sur la plateforme HackerOne. Des sommes dérisoires face aux récompenses que les cybercriminels peuvent obtenir en exploitant directement ces failles.
Une cybersécurité à revoir et des leçons à tirer pour l’industrie crypto
Ce piratage retentissant met en évidence une stratégie de cybersécurité insuffisante, notamment en ce qui concerne l’authentification et la validation des transactions crypto. Selon CertiK, l’attaque contre Bybit a été facilitée par une campagne de phishing qui a piégé les signataires de transactions multisignatures, les poussant à valider une mise à jour malveillante du contrat. De son côté, l’attaque d’Infini a été possible à cause d’une fuite de clé privée, donnant aux pirates un accès total aux fonds stockés.
Pour éviter la répétition de telles catastrophes, les experts recommandent des mesures drastiques : adoption de dispositifs de signature isolés, utilisation d’environnements non persistants pour l’approbation des transactions et renforcement des couches d’authentification pour les transactions à haute valeur. Marwan Hachem insiste également sur l’importance de récompenser davantage les pirates éthiques en amont. « Motiver les meilleurs pirates éthiques à tester une plateforme avec des récompenses plus élevées améliorera grandement sa sécurité, coûtera bien moins cher et protégera sa réputation », explique-t-il.
Les piratages de Bybit et Infini ne sont que les derniers exemples d’un problème récurrent dans l’écosystème crypto : des protocoles de sécurité inadaptés et des primes de bug bounty insuffisantes. Avec des milliards de dollars en jeu, les plateformes doivent repenser leur approche et investir massivement dans des mesures préventives, sous peine de voir leur réputation et leurs utilisateurs s’effondrer. L’industrie crypto peut-elle encore se permettre d’attendre le prochain piratage avant d’agir ?