Le fondateur de CertiK interprète le rapport de sécurité : pertes de 1,66 milliard de dollars au T1, la sécurité doit être la pierre angulaire des projets.
Le fondateur de CertiK parle de la sécurité de la Blockchain : pertes de 1,66 milliard de dollars au premier trimestre, la sécurité doit être considérée comme un principe fondamental
Récemment, un média technologique de renom a réalisé une interview exclusive avec le cofondateur et CEO de CertiK. Les deux parties ont mené une discussion approfondie sur le dernier rapport de sécurité trimestriel publié par l'entreprise, portant sur l'évolution des techniques d'attaque des hackers et l'innovation des technologies de défense.
Le PDG a souligné que la sécurité ne devrait pas être considérée comme une mesure de dernier recours, mais comme un principe fondamental à prendre en compte dès le début d'un projet. Il préconise l'adoption proactive de technologies de pointe telles que la vérification formelle, les preuves à zéro connaissance et le calcul multipartite, afin d'améliorer de manière globale la sécurité des protocoles Blockchain et des contrats intelligents. C'est également la raison pour laquelle il a fondé son entreprise - construire une base de sécurité plus fiable pour le monde Web3.0 grâce à des technologies de vérification formelle rigoureuses.
Cette insistance sur la sécurité n'est pas le produit d'une tendance de marché à court terme, mais provient de sa recherche et de sa pratique à long terme des idéaux technologiques. De sa participation au développement d'un système d'exploitation réputé comme "infaillible", à la fourniture de garanties de sécurité pour plus de 5300 milliards de dollars d'actifs numériques aujourd'hui, il s'est toujours engagé à protéger la sécurité du secteur et à renforcer la confiance globale.
Le PDG a souligné à plusieurs reprises que la sécurité n'est pas un avantage concurrentiel, mais une responsabilité commune. Il transforme non seulement les résultats académiques en pratiques industrielles, mais intègre également le concept de "responsabilité commune" dans la collaboration au sein de l'industrie. En tant que leader technologique issu d'une prestigieuse académie, il s'attaque à l'incertitude des attaques de hackers par la vérifiabilité de la logique mathématique, indiquant la voie pour le développement sécurisé à l'ère du Web 3.0.
Découvertes clés du rapport de sécurité du premier trimestre
Au premier trimestre 2025, les pertes causées par des fraudes sur la blockchain s'élevaient à environ 1,66 milliard de dollars, en hausse de 303 % par rapport au trimestre précédent. Cela est principalement dû à une attaque par des hackers sur un échange à la fin février, qui a entraîné le vol d'environ 1,4 milliard de dollars d'actifs. Ethereum reste la principale cible des attaques, avec 3 incidents de sécurité causant des pertes totales de 1,54 milliard de dollars. Plus inquiétant encore, seulement 0,38 % des actifs volés ont été récupérés ce trimestre.
Analyse des tendances des attaques
Le premier trimestre de 2025 a poursuivi la tendance de la fin de l'année 2024, avec Ethereum qui reste une zone de forte attaque. Au quatrième trimestre de 2024, 99 incidents de sécurité se sont produits sur Ethereum, contre 93 au premier trimestre. Cette tendance était très évidente tout au long de l'année 2024 et devrait se poursuivre en 2025.
La raison pour laquelle Ethereum est devenu le point focal des attaques réside dans le grand nombre de protocoles DeFi dans son écosystème et la taille massive des actifs verrouillés ; d'autre part, il existe de nombreuses vulnérabilités dans les contrats intelligents sur Ethereum.
Stratégies de sécurité pour faire face à des attaques complexes
Face à des techniques d'attaque de plus en plus complexes, l'industrie de la sécurité Blockchain s'adapte activement. Les attaquants utilisent de plus en plus des stratégies complexes telles que l'ingénierie sociale, les technologies d'IA et la manipulation de contrats intelligents pour contourner les mécanismes de sécurité existants. Avec l'expansion de l'application des actifs numériques et l'augmentation de leur valorisation, l'industrie doit évoluer pour garantir l'intégrité des projets et la sécurité des actifs des utilisateurs.
L'industrie pousse le développement de technologies innovantes telles que les preuves à connaissance nulle (ZKP) et la sécurité on-chain. Ces technologies offrent des solutions prometteuses aux problèmes de sécurité de plus en plus sévères, permettant d'atteindre l'auditabilité des transactions, la traçabilité des attaques et la récupération des actifs tout en protégeant la vie privée. Le calcul multipartite (MPC) renforce encore la sécurité de la gestion des clés en décentralisant le contrôle des clés privées, éliminant ainsi le risque de point de défaillance unique et augmentant considérablement la difficulté d'accès non autorisé aux portefeuilles.
Conseils de sécurité pour les développeurs
La sécurité doit être considérée comme un principe non négociable. Intégrer des considérations de sécurité à chaque étape du développement, plutôt que de remédier aux problèmes après coup, aide à détecter précocement les vulnérabilités potentielles et permet d'économiser beaucoup de temps et de ressources à long terme. Cette stratégie proactive de "priorité à la sécurité" est cruciale pour construire des applications Web3.0 fiables.
De plus, solliciter des institutions de sécurité professionnelles pour un audit tiers complet et impartial peut également fournir une perspective indépendante, permettant de détecter des risques potentiels que l'équipe interne pourrait négliger. Ce type d'évaluation externe offre une étape de révision clé, contribuant à identifier et à corriger rapidement les vulnérabilités, renforçant ainsi la sécurité globale du projet et améliorant la confiance des utilisateurs.
Le double rôle de l'IA dans la sécurité de la Blockchain
L'IA est devenue un outil important dans le système de sécurité de la Blockchain. Certaines entreprises utilisent la technologie IA pour analyser les vulnérabilités et les défauts de sécurité potentiels dans les contrats intelligents, aidant à réaliser des audits complets de manière plus efficace, mais elle ne peut pas complètement remplacer les équipes d'audit d'experts humains.
Cependant, les attaquants peuvent également utiliser l'IA pour renforcer leurs méthodes d'attaque. Par exemple, l'IA peut être utilisée pour identifier les faiblesses du code, contourner les mécanismes de consensus et les systèmes de défense. Cela signifie que le seuil de résistance à la sécurité est élevé, et avec la généralisation croissante des applications d'IA, l'industrie doit investir dans des solutions de sécurité plus puissantes.
Rôle de la vérification formelle
La vérification formelle est une méthode qui prouve, par des moyens mathématiques, qu'un programme informatique fonctionne comme prévu. Elle exprime les propriétés du programme sous forme de formules mathématiques et utilise des outils automatisés pour la vérification.
Cette technologie peut être largement appliquée dans divers domaines de l'industrie technologique, y compris la conception matérielle, l'ingénierie logicielle, la cybersécurité, l'IA et l'audit des contrats intelligents. Il est important de souligner que la vérification formelle n'est pas destinée à remplacer les audits manuels. Pour les contrats intelligents, la vérification formelle s'appuie sur des méthodes automatisées pour évaluer la logique et le comportement du contrat, tandis que l'audit manuel est effectué par des experts en sécurité qui examinent en profondeur le code, la conception et le déploiement afin d'identifier les risques de sécurité potentiels. Les deux se complètent et améliorent ensemble la sécurité globale des contrats intelligents.
Les défis de sécurité apportés par l'entrée des institutions financières traditionnelles
Avec l'entrée des institutions financières traditionnelles dans le domaine de la Blockchain, le type et la complexité des menaces à la sécurité évoluent. Dans les débuts de Web3.0 et de l'industrie de la Blockchain, les attaquants ciblaient généralement des utilisateurs individuels ou de petits projets, en utilisant des méthodes telles que le phishing, le RugPull et l'exploitation de vulnérabilités de portefeuilles. Ces défis persistent, mais avec l'arrivée de grandes institutions, les risques de sécurité pour l'intégrité du réseau entreront dans une nouvelle phase.
Cette transformation implique non seulement la croissance de la taille des actifs du projet, mais aussi les besoins de sécurité spécifiques des applications d'entreprise, les exigences réglementaires, ainsi que les défis posés par l'intégration profonde de la Blockchain avec le système financier traditionnel.
Étant donné que la plupart des institutions traditionnelles ont de l'expérience dans la gestion des menaces en ligne, on s'attend à ce que les acteurs malveillants augmentent également la complexité de leurs méthodes d'attaque. Les cibles d'attaque pourraient passer des vulnérabilités de portefeuilles génériques à des faiblesses spécifiques aux entreprises, telles que les erreurs de configuration, les vulnérabilités des contrats intelligents personnalisés et les défauts de sécurité dans les interfaces d'intégration avec les systèmes traditionnels.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
5
Partager
Commentaire
0/400
rekt_but_not_broke
· Il y a 21h
Je me sens vraiment mal.
Voir l'originalRépondre0
GateUser-3824aa38
· Il y a 21h
Rug Pull sont ceux qui n'ont pas fait de sécurité.
Voir l'originalRépondre0
RektRecorder
· Il y a 22h
Encore 1,6 milliard qui s'envole
Voir l'originalRépondre0
BridgeNomad
· Il y a 22h
un autre jour, une autre exploitation... fatigué d'être celui qui l'a prédit, pour être honnête
Le fondateur de CertiK interprète le rapport de sécurité : pertes de 1,66 milliard de dollars au T1, la sécurité doit être la pierre angulaire des projets.
Le fondateur de CertiK parle de la sécurité de la Blockchain : pertes de 1,66 milliard de dollars au premier trimestre, la sécurité doit être considérée comme un principe fondamental
Récemment, un média technologique de renom a réalisé une interview exclusive avec le cofondateur et CEO de CertiK. Les deux parties ont mené une discussion approfondie sur le dernier rapport de sécurité trimestriel publié par l'entreprise, portant sur l'évolution des techniques d'attaque des hackers et l'innovation des technologies de défense.
Le PDG a souligné que la sécurité ne devrait pas être considérée comme une mesure de dernier recours, mais comme un principe fondamental à prendre en compte dès le début d'un projet. Il préconise l'adoption proactive de technologies de pointe telles que la vérification formelle, les preuves à zéro connaissance et le calcul multipartite, afin d'améliorer de manière globale la sécurité des protocoles Blockchain et des contrats intelligents. C'est également la raison pour laquelle il a fondé son entreprise - construire une base de sécurité plus fiable pour le monde Web3.0 grâce à des technologies de vérification formelle rigoureuses.
Cette insistance sur la sécurité n'est pas le produit d'une tendance de marché à court terme, mais provient de sa recherche et de sa pratique à long terme des idéaux technologiques. De sa participation au développement d'un système d'exploitation réputé comme "infaillible", à la fourniture de garanties de sécurité pour plus de 5300 milliards de dollars d'actifs numériques aujourd'hui, il s'est toujours engagé à protéger la sécurité du secteur et à renforcer la confiance globale.
Le PDG a souligné à plusieurs reprises que la sécurité n'est pas un avantage concurrentiel, mais une responsabilité commune. Il transforme non seulement les résultats académiques en pratiques industrielles, mais intègre également le concept de "responsabilité commune" dans la collaboration au sein de l'industrie. En tant que leader technologique issu d'une prestigieuse académie, il s'attaque à l'incertitude des attaques de hackers par la vérifiabilité de la logique mathématique, indiquant la voie pour le développement sécurisé à l'ère du Web 3.0.
Découvertes clés du rapport de sécurité du premier trimestre
Au premier trimestre 2025, les pertes causées par des fraudes sur la blockchain s'élevaient à environ 1,66 milliard de dollars, en hausse de 303 % par rapport au trimestre précédent. Cela est principalement dû à une attaque par des hackers sur un échange à la fin février, qui a entraîné le vol d'environ 1,4 milliard de dollars d'actifs. Ethereum reste la principale cible des attaques, avec 3 incidents de sécurité causant des pertes totales de 1,54 milliard de dollars. Plus inquiétant encore, seulement 0,38 % des actifs volés ont été récupérés ce trimestre.
Analyse des tendances des attaques
Le premier trimestre de 2025 a poursuivi la tendance de la fin de l'année 2024, avec Ethereum qui reste une zone de forte attaque. Au quatrième trimestre de 2024, 99 incidents de sécurité se sont produits sur Ethereum, contre 93 au premier trimestre. Cette tendance était très évidente tout au long de l'année 2024 et devrait se poursuivre en 2025.
La raison pour laquelle Ethereum est devenu le point focal des attaques réside dans le grand nombre de protocoles DeFi dans son écosystème et la taille massive des actifs verrouillés ; d'autre part, il existe de nombreuses vulnérabilités dans les contrats intelligents sur Ethereum.
Stratégies de sécurité pour faire face à des attaques complexes
Face à des techniques d'attaque de plus en plus complexes, l'industrie de la sécurité Blockchain s'adapte activement. Les attaquants utilisent de plus en plus des stratégies complexes telles que l'ingénierie sociale, les technologies d'IA et la manipulation de contrats intelligents pour contourner les mécanismes de sécurité existants. Avec l'expansion de l'application des actifs numériques et l'augmentation de leur valorisation, l'industrie doit évoluer pour garantir l'intégrité des projets et la sécurité des actifs des utilisateurs.
L'industrie pousse le développement de technologies innovantes telles que les preuves à connaissance nulle (ZKP) et la sécurité on-chain. Ces technologies offrent des solutions prometteuses aux problèmes de sécurité de plus en plus sévères, permettant d'atteindre l'auditabilité des transactions, la traçabilité des attaques et la récupération des actifs tout en protégeant la vie privée. Le calcul multipartite (MPC) renforce encore la sécurité de la gestion des clés en décentralisant le contrôle des clés privées, éliminant ainsi le risque de point de défaillance unique et augmentant considérablement la difficulté d'accès non autorisé aux portefeuilles.
Conseils de sécurité pour les développeurs
La sécurité doit être considérée comme un principe non négociable. Intégrer des considérations de sécurité à chaque étape du développement, plutôt que de remédier aux problèmes après coup, aide à détecter précocement les vulnérabilités potentielles et permet d'économiser beaucoup de temps et de ressources à long terme. Cette stratégie proactive de "priorité à la sécurité" est cruciale pour construire des applications Web3.0 fiables.
De plus, solliciter des institutions de sécurité professionnelles pour un audit tiers complet et impartial peut également fournir une perspective indépendante, permettant de détecter des risques potentiels que l'équipe interne pourrait négliger. Ce type d'évaluation externe offre une étape de révision clé, contribuant à identifier et à corriger rapidement les vulnérabilités, renforçant ainsi la sécurité globale du projet et améliorant la confiance des utilisateurs.
Le double rôle de l'IA dans la sécurité de la Blockchain
L'IA est devenue un outil important dans le système de sécurité de la Blockchain. Certaines entreprises utilisent la technologie IA pour analyser les vulnérabilités et les défauts de sécurité potentiels dans les contrats intelligents, aidant à réaliser des audits complets de manière plus efficace, mais elle ne peut pas complètement remplacer les équipes d'audit d'experts humains.
Cependant, les attaquants peuvent également utiliser l'IA pour renforcer leurs méthodes d'attaque. Par exemple, l'IA peut être utilisée pour identifier les faiblesses du code, contourner les mécanismes de consensus et les systèmes de défense. Cela signifie que le seuil de résistance à la sécurité est élevé, et avec la généralisation croissante des applications d'IA, l'industrie doit investir dans des solutions de sécurité plus puissantes.
Rôle de la vérification formelle
La vérification formelle est une méthode qui prouve, par des moyens mathématiques, qu'un programme informatique fonctionne comme prévu. Elle exprime les propriétés du programme sous forme de formules mathématiques et utilise des outils automatisés pour la vérification.
Cette technologie peut être largement appliquée dans divers domaines de l'industrie technologique, y compris la conception matérielle, l'ingénierie logicielle, la cybersécurité, l'IA et l'audit des contrats intelligents. Il est important de souligner que la vérification formelle n'est pas destinée à remplacer les audits manuels. Pour les contrats intelligents, la vérification formelle s'appuie sur des méthodes automatisées pour évaluer la logique et le comportement du contrat, tandis que l'audit manuel est effectué par des experts en sécurité qui examinent en profondeur le code, la conception et le déploiement afin d'identifier les risques de sécurité potentiels. Les deux se complètent et améliorent ensemble la sécurité globale des contrats intelligents.
Les défis de sécurité apportés par l'entrée des institutions financières traditionnelles
Avec l'entrée des institutions financières traditionnelles dans le domaine de la Blockchain, le type et la complexité des menaces à la sécurité évoluent. Dans les débuts de Web3.0 et de l'industrie de la Blockchain, les attaquants ciblaient généralement des utilisateurs individuels ou de petits projets, en utilisant des méthodes telles que le phishing, le RugPull et l'exploitation de vulnérabilités de portefeuilles. Ces défis persistent, mais avec l'arrivée de grandes institutions, les risques de sécurité pour l'intégrité du réseau entreront dans une nouvelle phase.
Cette transformation implique non seulement la croissance de la taille des actifs du projet, mais aussi les besoins de sécurité spécifiques des applications d'entreprise, les exigences réglementaires, ainsi que les défis posés par l'intégration profonde de la Blockchain avec le système financier traditionnel.
Étant donné que la plupart des institutions traditionnelles ont de l'expérience dans la gestion des menaces en ligne, on s'attend à ce que les acteurs malveillants augmentent également la complexité de leurs méthodes d'attaque. Les cibles d'attaque pourraient passer des vulnérabilités de portefeuilles génériques à des faiblesses spécifiques aux entreprises, telles que les erreurs de configuration, les vulnérabilités des contrats intelligents personnalisés et les défauts de sécurité dans les interfaces d'intégration avec les systèmes traditionnels.