Les audits accomplissent exactement ce pour quoi ils sont conçus : découvrir des erreurs dans le code. Et ils travaillent. Moins d’attaques qu’avant profitent d’un code défectueux pour voler les fonds de la plateforme.
Le problème, cependant, est que nous constatons un décalage croissant entre ce que les audits examinent et ce que les attaquants exploitent réellement. Aujourd’hui, les pertes les plus importantes du secteur ne proviennent pas réellement des vulnérabilités traditionnelles des contrats intelligents. Ils proviennent plutôt de clés privées compromises, de manipulations de gouvernance, de compromission interne, de mises à jour de dépendances malveillantes et de défaillances opérationnelles.
Aussi brillants soient-ils pour identifier les vulnérabilités du code, les audits traditionnels ne peuvent empêcher un développeur d’être victime d’une campagne de phishing. Le meilleur code au monde peut encore se trouver au sommet d’une infrastructure opérationnelle vulnérable.
En fait, nos recherches montrent que, lorsqu’on les mesure en termes de dommages financiers, ces exploits opérationnels sont souvent bien plus dévastateurs que les vulnérabilités du code elles-mêmes. Le secteur a investi d’énormes ressources pour réduire les risques liés aux contrats intelligents, mais les vecteurs d’attaque les plus coûteux restent relativement sous-défensés. C’est comme si l’industrie se concentrait toujours sur la défense contre la dernière génération d’attaques, alors que les acteurs malveillants ont adopté des stratégies différentes.
Les audits créent à eux seuls une dangereuse illusion de sécurité
Les plateformes annoncent fréquemment le nombre d’audits qu’elles ont réalisés, la réputation des entreprises qu’elles ont embauchées ou le volume de conclusions identifiées lors de l’examen. Ceux-ci sont devenus des indicateurs abrégés permettant de savoir si un projet est sûr.