Web3 et cyberattaques semblent malheureusement faire bon ménage. Voici tout ce qu’il faut savoir sur la place que va occuper le Web3 dans un futur proche, ainsi que les principales raisons de sa fragilité face aux hackers. 

2022, l’année la plus chère pour le Web3 ? 

Une certaine expression est bien connue dans l’univers crypto : « n’avoir qu’un seul audit de smart-contract, c’est un peu comme se laver les mains qu’une seule fois, il faut se préparer aux conséquences ». La conversation autour de la sécurité cryptographique n’avait jamais connu de période plus intense. L’année passée a été le témoin de pertes qualifiables de dévastatrices, en raison d’une cybercriminalité toujours plus élaborée et imprévisible. Un rapport récent de CertiK affirme que l’année 2022 sera sans doute l’année la plus chère jamais enregistrée pour le Web3. Cela signifie que les investissements de sécurité grimperont encore et encore, au fur et à mesure que de meilleures pratiques en la matière seront développées. 

Les smart-contracts, ou contrats intelligents, font partie intégrante du paysage Web3. Or, il est indispensable d’effectuer des audits tant réguliers qu’approfondis. Bon nombre de blockchains appliquent un audit unique à leurs smart contracts, et ne placent pas le contrôle de la sécurité au rang de priorité. En particulier pour les nouveaux projets. Erreur fatale. 

Les modifications post-audit, du miel pour les hackers ? 

Il est légitime de se demander si un audit unique, analysant l’intégralité du projet, n’est pas suffisant pour assurer la sécurité et surtout l’inviolabilité de ce dernier. La réponse est non. Par essence, un projet de blockchain est appelé à évoluer. Il s’adapte constamment aux nouvelles ambitions de ses fondateurs et de ses utilisateurs, et il subit ainsi des modifications. Lorsqu’un seul audit est réalisé, il l’est une fois que le projet dépeint sa première forme. Toutes les modifications intervenant a posteriori de cet audit ne seront ainsi ni contrôlées ni analysées. En particulier lorsque ces modifications touchent au code sous-jacent. Or, des modifications dont les failles n’ont pas été testées ne sont rien d’autre qu’une porte ouverte pour les hackers. 

Exemple avec Deus Finance, qui a subi une cyberattaque d’un montant de 16 millions de dollars. Deus avait bien fait auditer ses divers contrats intelligents. Mais une faille existait dans l’un des nouveaux smart contracts pas encore audités. Un hacker y a vu une opportunité. Avec une attaque de type flash loan particulièrement sophistiquée, le hacker est parvenu à modifier le prix des jetons DEI de Deus Finance. Il a ensuite récolté les bénéfices liés. Cela lui a été possible en manipulant un nœud de code interprétant les données et dictant le prix du jeton. Opportuniste, certes. Mais en même temps, c’est également révélateur. De nouvelles pratiques sécuritaires en matière d’audits devant rapidement être adoptées. Sous peine de voir de nombreux projets tomber sous les balles des hackers.