« La plupart des infrastructures blockchain ont été conçues à l’origine pour un modèle à utilisateur unique et à clé unique, une clé privée contrôle tout, et si cette clé est perdue ou volée, tous les actifs disparaissent instantanément. Cela va à l’encontre des principes de sécurité de base sur lesquels la finance traditionnelle s’appuie depuis des décennies : plus d’une personne approuvant, séparation des tâches et plusieurs niveaux de défense », a déclaré Wu à CoinDesk.
D’une certaine manière, le système conçu pour révolutionner la finance mondiale est doté d’une sécurité plus faible qu’un compte de messagerie classique.
Wu a ajouté que le nombre de routes par lesquelles une attaque peut être lancée a considérablement augmenté. « Les systèmes cloud, les outils tiers, les comptes de réseaux sociaux et les personnes qui les exploitent, tout cela peut devenir une porte d’entrée. »
Wu et Fan ont tous deux cité le piratage Bybit de février 2025 comme exemple d’une surface d’attaque élargie. Les attaquants ont compromis la chaîne d’approvisionnement logicielle d’un outil de développement tiers, leur permettant d’injecter du code malveillant dans l’interface Web du portefeuille et d’inciter les dirigeants à renoncer sans le savoir à 1,5 milliard de dollars en Ethereum.
Le correctif
L’industrie s’efforce désormais de résoudre le problème de la vulnérabilité des clés privées, mais de manière inégale, selon Wu.
« Il y a des progrès sur plusieurs fronts : MPC [multi-party computation] portefeuilles matériels, abstraction des comptes avec récupération sociale, connexion par mot de passe, application du portefeuille matériel et SOP de gestion appropriée des clés », a-t-il déclaré. « Le problème est que ceux-ci sont souvent ajoutés en tant qu’extras facultatifs, au lieu d’être intégrés dès le départ au niveau du protocole. La plupart des chaînes considèrent encore la sécurité comme une fonctionnalité à intégrer, et non comme un principe de conception fondamental. »