Les blockchains sont sûres, mais elles sont devenues la proie de nombreux crimes cryptographiques. Le coût total des crypto-monnaies volées a commencé à augmenter peu après le lancement du Bitcoin et est désormais estimé à 19 milliards de dollars. Les vols de crypto-monnaie s’accélèrent généralement lors des marchés haussiers.
Lire : Le protocole DeFi fondé par « Sifu » a été piraté pour 19,4 millions de dollars
Les recherches de Crystal Platform montrent que la valeur totale des crypto-monnaies volées lors de multiples escroqueries ou piratages s'élève à 19 milliards de dollars. Entre 2011 et 2024, l’ampleur et la valeur des vols ont augmenté, tout comme les possibilités de détournement de pièces, de jetons et de NFT.
Le récent rapport recense 785 incidents, dont de nombreux vols mineurs et vols de portefeuilles personnels qui ne sont pas détectés. Crystal Platform est la plus prudente dans ses estimations des rapports sur la criminalité et les pertes.
Les escroqueries et les fraudes se sont révélées être les outils les plus efficaces pour voler des crypto-monnaies, récoltant 8 milliards de dollars. Les attaques contre les bourses et les systèmes centralisés ont causé des pertes de 6 milliards de dollars. DeFi, le dernier type de piratage, a amassé 5 milliards de dollars grâce à divers exploits.
Le plus grand nombre d’attaques a eu lieu en 2023 avec 286 événements. Le rapport adopte une vision plus étroite des piratages, tandis que le décompte de PeckShield a fait état de plus de 600 événements majeurs en 2023. Chainalysis a une définition plus large de la criminalité cryptographique, citant plus de 24 milliards de dollars d'exploits pour la seule année 2024, y compris également des liquidations et des exploits commerciaux tels que des actes malveillants. utilisation de la technologie cryptographique par certains chercheurs.
En 2024, seules 56 attaques ont eu lieu, pour la plupart des cyberattaques de grande valeur. Les attaques de piratage les plus importantes et les plus importantes ciblent généralement BTC et ETH. Aucun n’a dépassé le cas de piratage de Plus Token, qui a réclamé 2,9 milliards de dollars en BTC et ETH.
Dans le passé, les pirates informatiques pouvaient attaquer des projets contenant des trésors importants. Certains vols impliquaient également un facteur humain, s’appuyant sur une mauvaise sécurité du portefeuille. La plus grande menace persistante découverte était le groupe de hackers Lazarus lié au régime nord-coréen.
Outre les grandes attaques de pirates informatiques, les escroqueries personnelles ciblant des portefeuilles spécifiques font également leur retour. Des logiciels malveillants sont toujours utilisés pour exploiter des actifs cryptographiques, capables de cibler les portefeuilles connectés et d'autoriser les transactions.
En 2023, on estime que 3 milliards de dollars ont été perdus directement à cause des rappels de tapis, sans compter la valeur notionnelle effacée. Selon le rapport Hacken, les tirages de tapis représentent 65 % des réclamations. Ces types d’attaques ont coïncidé avec l’essor de la création de nouveaux tokens.
Les réseaux les plus ciblés en 2023 étaient Ethereum et Binance Smart Chain. Base, un réseau relativement plus récent, n’a subi que six attaques en 2023, dont quatre. Les blockchains évolutives telles que Polygon, Arbitrum, Optimism et Fantom ont connu relativement peu d'attaques. Même si les protocoles sous-jacents sont bons, les applications qu’ils contiennent peuvent cacher des risques ou effectuer des manœuvres délibérées.
DeFi lance une nouvelle vague d'exploits
Les applications décentralisées, en particulier celles traitant du commerce et des transferts de valeurs, deviennent la cible des vols de cryptomonnaies. Les hacks DeFi sont plus élaborés et utilisent des compétences différentes. Parmi les principaux types de vol, les protocoles DeFi sont menacés par l’épuisement des ponts et l’épuisement du pool de liquidités des prêts flash.
Lire aussi : Un exploit de 16 millions de dollars frappe l'écosystème Curio : 1 milliard de jetons CGT frappés illégalement
Jusqu’à présent, le piratage du Ronin Bridge était le plus important en termes de taille, emportant plus de 600 millions de dollars. Les centres d'échange largement utilisés tels que BNB Bridge et Wormhole ont également subi des exploits. Tous les trois n’ont pas effectué d’audit de contrat intelligent. Les pirates ont réussi à remarquer une vulnérabilité et à provoquer le retrait du pont. Les ponts restent une infrastructure clé dans DeFi, où les échanges inter-chaînes et les mouvements de jetons nécessitent toujours une approbation manuelle des transactions.
Même les projets de plus grande envergure ne sont pas à l’abri, comme c’est le cas de Gala Games. Le projet Metaverse and Gaming a subi un exploit de son contrat de frappe, qui a créé des jetons non autorisés.
Pour prévenir les braquages, la mise en place d’un contrôle centralisé sur les mouvements de jetons est une solution viable. Les projets DeFi, les stablecoins et autres centres de valeur décident souvent de mettre en œuvre ce contrôle et la possibilité de bloquer les détenteurs de portefeuilles.
Pour cette raison, les pirates échangent souvent des fonds contre Ethereum sur son réseau principal et mélangent le butin via Tornado Cash ou un autre service de mixage. Dans ce cas, le projet ne peut recourir au gel des fonds. La plupart des attaques se produisent contre des contrats intelligents non vérifiés, lorsque le projet lui-même a commis une erreur ou une inefficacité sans s'en rendre compte.
Reportage cryptopolitain de Hristina Vasileva