Alors même que la saga Binance-FTX continue de dominer les ondes crypto, une tendance croissante, et inquiétante, a attiré l'attention de nombreux amateurs de monnaies numériques au cours des derniers mois, à savoir le remboursement partiel des fonds par les pirates pour avoir découvert des failles dans un protocole.

À cet égard, tout récemment, les mauvais acteurs à l'origine de l'attaque de 14,5 millions de dollars de Team Finance ont révélé qu'ils seraient autorisés à rester en possession de 10 % des fonds volés en guise de prime. De même, Mango Markets, un réseau de finance décentralisée (DeFi) basé sur Solana qui a récemment été piraté pour un montant de plus de 110 millions de dollars, a révélé que sa communauté de bailleurs de fonds travaillait à l'obtention d'un consensus, qui permettrait au pirate de recevoir 47 millions de dollars comme récompense pour avoir révélé la vulnérabilité.

Alors que cette tendance continue de gagner du terrain, Cointelegraph a contacté plusieurs observateurs du secteur pour savoir si une telle pratique est saine pour la croissance continue du marché des actifs numériques, surtout à long terme.

Une bonne pratique, pour l'instant

Rachel Lin, cofondatrice et PDG de SynFutures, un exchange décentralisé de produits dérivés de cryptomonnaies, a déclaré à Cointelegraph que, d'une part, l'habitude d'encourager les « chapeaux noirs » à devenir des « chapeaux blancs » encourage l'industrie à élever ses normes en matière de bonnes pratiques, mais qu'il n'est toujours pas rare que des protocoles populaires soient bifurqués ou simplement copiés, ce qui les laisse truffés de bugs cachés. Elle ajoute :

« Nous nous en voudrions de dire qu'il s'agit d'un domaine sain où, dans un monde idéal, il n'y aurait que des pirates de type " chapeau blanc ". Mais la transition à laquelle nous assistons, dans laquelle les pirates retournent une partie des fonds, ce qui n'était pas le cas auparavant, est un grand pas en avant, en particulier dans des périodes sensibles comme celle-ci, où il devient plus clair que de nombreux projets et exchanges sont connectés et pourraient avoir un impact sur l'écosystème dans son ensemble. »

Sur une note quelque peu similaire, Brian Pasfield, directeur technique du marché monétaire décentralisé Fringe Finance, a déclaré à Cointelegraph que si l'idée de donner aux pirates une fraction de l'argent qu'ils charrient pour avoir découvert des failles peut être considérée comme malsaine et presque insoutenable, le fait est qu'en fin de compte les projets piratés n'ont pas d'autre choix que d'utiliser cette approche. « C'est une meilleure alternative que de recourir à l'approche des forces de l'ordre pour attraper les auteurs et récupérer les fonds, ce qui prend beaucoup de temps, si tant est qu'elles réussissent. », a-t-il ajouté.

À lire également : Que peut faire la blockchain pour accroître la longévité humaine ?

Plus techniquement, Slava Demchuk, cofondateur de la société de conformité crypto AMLBot, a déclaré à Cointelegraph que, puisque tout est sur la blockchain, toutes les actions d'un pirate sont traçables, à tel point que le pirate a presque une chance sur deux d'utiliser les actifs numériques obtenus illégalement. Il ajoute :

« Lorsque les pirates acceptent de rendre une partie de ces fonds volés, non seulement le projet ne poursuit généralement pas le pirate, mais il lui permet même de pouvoir utiliser les fonds restants en toute légalité. »

Enfin, Jasper Lee, responsable de l'audit technique chez SOOHO.IO, une société d'audit crypto pour plusieurs entreprises du Fortune 500, a déclaré que ce type de comportement de chapeau blanc pourrait être sain pour l'industrie de la blockchain à long terme, car il offre la possibilité d'identifier les vulnérabilités au sein des protocoles DeFi avant qu'elles ne prennent trop d'ampleur.

Il a en outre déclaré à Cointelegraph que dans les industries non-blockchain, même si un pirate trouve une vulnérabilité dans un code donné, il est difficile pour lui de rendre cette information publique car cela pourrait causer de graves problèmes juridiques. « Dans le piratage traditionnel, il est très rare qu'un pirate rende les fonds qu'il a pris, car cela révélerait probablement son identité », a déclaré Lee.

Tout le monde n'est pas d'accord

David Carvalho, PDG de Naoris Protocol, un écosystème de cybersécurité distribuée, a déclaré sans équivoque que permettre aux pirates de conserver des fonds de cette manière non seulement sape toute l'éthique d'un système financier décentralisé, mais encourage un comportement qui favorise la méfiance.

« Cela ne peut continuer à être considéré comme quelque chose à tolérer à quelque niveau que ce soit. Les principes fondamentaux d'un système financier sûr et équitable ne changent pas. », a-t-il déclaré à Cointelegraph, ajoutant : « La prémisse selon laquelle la seule façon de résoudre le problème du piratage est de faire du problème une partie de la solution est fatalement erronée. Cela peut réparer une petite fissure pendant une courte période, mais la fissure continuera de croître sous le poids des réparations peu solides et entraînera la déstabilisation du marché. »

Un sentiment similaire est partagé par Tim Bos, cofondateur et PDG de ShareRing, un écosystème basé sur la blockchain fournissant des solutions d'identité numérique, qui estime que cette pratique est terrible. « Cela s'apparente à payer des criminels qui prennent des gens en otage. Tout ce que cela fait, c'est que les pirates se rendent compte qu'ils peuvent commettre un énorme crime, être récompensés pour cela, et qu'il n'y a ensuite aucune répercussion », a-t-il déclaré à Cointelegraph.

Carvalho a noté que ce n'est pas parce qu'un pirate est assez gentil pour rendre une partie des fonds que c'est une bonne pratique, puisque ces épisodes font quand même perdre beaucoup d'argent aux gens et aux plateformes DeFi.

« Nous ne pouvons pas nous permettre d'associer la finance décentralisée à des correctifs de sécurité infâmes. Pour une adoption massive par les entreprises et les particuliers, nous avons besoin que les systèmes de sécurité des écosystèmes Web2 et Web3 soient fiables et à l'épreuve du piratage. Le fait qu'une cohorte de pirates informatiques prenne ostensiblement les rênes de l'espace de cybersécurité est pour le moins insensé et ne contribue en rien à promouvoir le secteur », a-t-il déclaré.

Un mauvais précédent pour le secteur ?

M. Lin a fait remarquer que même parmi les entreprises traditionnelles du Web2, comme les FAANG de ce monde, les pirates sont incités à découvrir des bugs et des vulnérabilités en échange de certains avantages. Cependant, cela s'accompagne souvent d'exigences strictes et le fait que des pirates de type « chapeau blanc » découvrent ces failles est considéré comme sain pour l'écosystème. Elle note :

 « Les exploitations de vulnérabilités ou les découvertes majeures mettent généralement en alerte l'ensemble du secteur et les équipes de sécurité internes. Mais c'est une pente glissante. Je dirais que nous devons définir ce qu'est un pirate informatique "chapeau blanc". Par exemple, peut-on considérer comme un " pirate àchapeau blanc " un pirate qui est acculé et qui, à contrecœur, ne restitue que 10 % des fonds ? »

Lee pense que ces gros salaires peuvent servir d'incitation significative pour que les chapeaux blancs réalisent davantage de stratagèmes de ce type. Toutefois, il a souligné qu'au lieu de voir 100 % des fonds d'un protocole être piratés ou disparaître pour de bon, il est toujours préférable pour les utilisateurs du protocole qu'une partie des fonds alloués soit récupérée.

Sur une note plus optimiste, M. Demchuk a fait remarquer que le marché de la DeFi est dirigé par la communauté et que, par conséquent, de telles actions peuvent être considérées comme positives, car les pirates eux-mêmes sont souvent invités à travailler pour les projets qu'ils ont attaqués, faisant de leurs activités de véritables tests de résistance.

Quelle est la solution ?

Ce n'est un secret pour personne qu'une grande partie de l'écosystème Web3 (et des solutions de cybersécurité associées) fonctionne encore sur l'architecture Web2 d'hier, ce qui les rend très centralisés. Selon M. Carvalho, c'est l'éléphant dans la pièce dont la plupart des plateformes Web3 ne veulent pas parler. Il estime que si ces problèmes urgents ne sont pas résolus à l'aide de solutions décentralisées, les normes d'exécution et de publication des smart contracts ne seront pas fondamentalement modifiées ou améliorées, ajoutant :

« Ces types de violations continueront à se produire parce qu'il n'y a pas de responsabilité ou de criminalisation de l'activité de piratage. Je crois qu'une approche du type 'payez simplement le pirate' va augmenter le risque pour la DeFi et d'autres plateformes centralisées/décentralisées parce que les faiblesses fondamentales ne sont pas résolues. »

Bos a noté que le problème central ici n'est pas le piratage ou les fausses primes qui récompensent les pirates, mais un manque apparent d'audits, de processus de sécurité de qualité et de revues des risques, en particulier de la part des projets qui ont dans leurs coffres des millions de dollars d'actifs crypto.

« Les banques établies sont pratiquement impossibles à pirater parce qu'elles dépensent beaucoup d'argent pour les examens de sécurité, les audits de risque, etc. Nous devons voir le même niveau de surveillance technique dans l'industrie crypto. », a-t-il conclu.

Par conséquent, alors que nous nous dirigeons vers un avenir de plus en plus axé sur les technologies décentralisées, nous pouvons dire que les pirates informatiques démontrent simplement à quel point le secteur de la crypto dans son ensemble doit s'investir davantage dans ses pratiques de sécurité.