Les sociétés de cryptographie dépensent énormément en audits de sécurité, mais les pirates informatiques continuent de gagner des milliards de dollars. Selon un nouveau rapport d'Oak Security, bon nombre des attaques les plus importantes ne ciblent plus les failles du code des contrats intelligents. Au lieu de cela, les attaquants exploitent les identifiants volés, les contrôles internes faibles et les erreurs opérationnelles.
Depuis 2022, les cybercriminels, dont le groupe nord-coréen Lazarus, ont volé plus de 2,2 milliards de dollars sur les plateformes de cryptographie. Au cours de la même période, l’industrie a fortement augmenté le nombre d’audits de codes. Cependant, de nombreuses failles de sécurité majeures proviennent de domaines que les audits traditionnels ne sont pas conçus pour évaluer, notamment la gestion des clés privées, les mécanismes de gouvernance et les contrôles de sécurité internes.
Le rapport souligne un écart croissant entre ce que les audits peuvent protéger et la manière dont les attaquants opèrent désormais. En conséquence, les experts en sécurité affirment que les sociétés de cryptographie doivent regarder au-delà du code et renforcer les systèmes et processus qui protègent les fonds des clients.
Les attaquants vont au-delà des contrats intelligents
Les audits de code sont devenus beaucoup plus sophistiqués, aidant les développeurs à détecter les vulnérabilités avant la mise en service des projets et réduisant le nombre de failles trouvées dans les contrats intelligents. Mais à mesure que la technologie s’est améliorée, les pirates ont changé leur approche.
Les attaquants tentent d’exploiter les humains et les systèmes au sein d’une organisation plutôt que les bugs de codage. Ces types d'attaques incluent les attaques de phishing, le vol de clés privées, l'exploitation des mises à jour du système et les menaces internes. De nombreux vols à grande échelle ces derniers temps sont dus à de telles attaques et non à des défauts dans le codage des applications.
Les chercheurs ont déclaré que les audits fonctionnent toujours comme prévu, identifiant les problèmes de sécurité avant le déploiement. Le problème est que les audits ne peuvent évaluer que le code. Ils ne peuvent pas empêcher un employé de remettre ses identifiants, d’approuver une transaction frauduleuse ou d’être victime d’une attaque de phishing. En conséquence, un code fort ne suffit plus à lui seul à protéger une plateforme de cryptographie.
En relation: Binance risque de perdre l'accès à l'UE alors que la Grèce rejette la licence MiCA
La fausse confiance crée de nouveaux risques
Les projets de cryptographie citent souvent les audits de sécurité comme preuve que leurs plates-formes sont sûres, mettant en évidence les examens effectués et les rapports des cabinets d'audit. Pour de nombreux utilisateurs, ces audits peuvent donner l’impression qu’un projet est protégé contre des failles de sécurité majeures.
Les chercheurs affirment que cette hypothèse peut être trompeuse. Un audit n’évalue le code d’un projet qu’à un moment précis. De nouveaux risques peuvent apparaître à mesure que les plateformes mettent à jour leur infrastructure, modifient leurs structures de gouvernance ou étendent leurs opérations.
Le récent piratage de KelpDAO souligne ce défi. Bien que l’attaque ne soit pas liée à une faille dans le code du contrat intelligent audité, les utilisateurs ont tout de même vu une autre plateforme de cryptographie perdre des fonds. Les experts en sécurité affirment que la plupart des investisseurs ne font pas la distinction entre un échec de codage et un échec opérationnel en cas de perte d’argent.
Selon le rapport, la réduction de ces risques nécessitera plus que de simples révisions de code. Les chercheurs ont déclaré que les projets devraient renforcer la sécurité des clés privées, améliorer les systèmes de surveillance, élargir la formation des employés en matière de sécurité et ajouter des mesures de protection permettant de détecter les activités suspectes avant que les pertes ne s'aggravent.
En relation: SBF dit qu'il pourrait lancer une nouvelle pièce après la prison alors que les investissements perdus atteignent des milliards