Note de l'auteur ✍🏻

Une fois, les Grecs ont construit un cheval de bois et l'ont offert à la ville de Troie. Les habitants de la ville l'ont vu comme un symbole de paix, ignorant la menace cachée à l'intérieur.

Avec le lancement réussi du Bitcoin ETF, de plus en plus de nouveaux utilisateurs et de fonds afflueront à nouveau dans le Web3, et le marché en ébullition semble indiquer que l'avenir du Web3 vers une application généralisée est plus proche. Cependant, le manque de politiques et les vulnérabilités de sécurité demeurent les principaux obstacles à l'adoption généralisée des cryptomonnaies.

Dans le monde de la crypto, les pirates informatiques peuvent tirer directement profit des vulnérabilités on-chain, gagnant parfois des millions, voire des milliards de dollars. Pendant ce temps, l'anonymat des cryptomonnaies crée des conditions permettant aux pirates informatiques d'échapper à la capture. À la fin de 2023, la valeur totale verrouillée (TVL) de tous les protocoles de finance décentralisée (DeFi) était d'environ 4 milliards de dollars (actuellement 10 milliards de dollars), tandis que rien qu'en 2022, la valeur totale des jetons volés aux protocoles DeFi atteignait 310 millions de dollars, soit 7% de la valeur susmentionnée. Ce chiffre illustre pleinement la gravité des problèmes de sécurité dans l'industrie Web3, telle l'épée de Damoclès suspendue au-dessus de nos têtes.

Il ne s’agit pas seulement de l’environnement on-chain ; Les problèmes de sécurité du côté des utilisateurs du Web3 sont également importants. Selon les données de Scam Sniffer, en 2023, 324 000 utilisateurs se sont fait voler leurs actifs en raison d’attaques de phishing, pour un montant total volé de 295 millions de dollars. Tant en termes de portée que de montant, l’impact est grave. Mais du point de vue des utilisateurs, les incidents de sécurité eux-mêmes ont un décalage : les utilisateurs ont souvent du mal à se rendre compte de la gravité des risques potentiels avant qu’un accident ne se produise. Par conséquent, les gens tombent souvent dans le « biais de survie », négligeant l’importance de la sécurité.

Cet article se penche sur les défis de sécurité pressants auxquels est confronté le marché d'aujourd'hui, en particulier à la lumière de la croissance rapide des utilisateurs de Web3. En disséquant les solutions de sécurité proposées par des entreprises comme Goplus, nous acquérons une compréhension plus profonde de la manière de renforcer l'adoption généralisée de Web3 grâce à la conformité et à des mesures de sécurité renforcées. Nous soutenons que la sécurité de Web3 représente un marché vaste, mais inexploité, valant des milliards, et que, à mesure que la base d'utilisateurs de Web3 continue de s'agrandir, la demande de services de sécurité centrés sur l'utilisateur est prête pour une croissance exponentielle.

Premiers aperçus :

1.Dévoiler les menaces en matière de sécuritéWeb3: Exploration d'un marché lucratif

1.1 Protection des actifs

1.2 Assurer la sécurité comportementale

1.3 Amélioration de la sécurité du protocole

1. Analyser le paysage de sécurité Web3
2. Solutions de sécurité de nouvelle génération : sauvegarder l'avenir de Web3
3. Conclusion

Avec un nombre total de mots de 5400 mots, cet article devrait prendre environ 12 minutes à lire.

Révélation des menaces en matière de sécurité Web3 : Exploration d'un marché lucratif :

Actuellement, les produits de sécurité Web3 se répartissent principalement en trois catégories : ToB, ToC et ToD. Les solutions B2B se concentrent principalement sur les audits de sécurité des produits, la réalisation de tests de pénétration et la fourniture de rapports d'audit pour renforcer les défenses des produits. D'autre part, les solutions B2C visent à protéger les environnements de sécurité des utilisateurs en capturant et en analysant des renseignements sur les menaces en temps réel et en fournissant des services de détection via des API. De plus, les outils ToD (Développeur) s'adressent aux développeurs Web3, en proposant des outils d'audit de sécurité automatisés et des services.

L'audit de sécurité est une mesure de sécurité statique nécessaire. Presque tous les produits Web3 font l'objet d'audits de sécurité, et les rapports d'audit sont rendus publics. Les audits de sécurité permettent non seulement à la communauté de vérifier la sécurité des protocoles pour la deuxième fois, mais ils servent également de base à la confiance des utilisateurs dans les produits.

Cependant, les audits de sécurité ne sont pas omnipotents. Compte tenu des tendances du marché et du discours actuel, nous prévoyons que les défis liés à la sécurité des utilisateurs continueront de croître, principalement manifestés dans les aspects suivants:

Sécurisation des actifs :

Chaque cycle de marché lance l'introduction de nouveaux actifs. Avec la montée d'ERC404 et des jetons hybrides comme FT et NFT, l'émission d'actifs sur chaîne continue d'évoluer, posant des défis croissants en matière de sécurité des actifs. La complexité introduite par la cartographie et l'intégration de différents types d'actifs via des contrats intelligents élargit la surface d'attaque pour les pirates informatiques. Par exemple, les attaquants peuvent perturber les transferts d'actifs en exploitant des mécanismes de rappel ou de taxation spécifiques, ce qui peut potentiellement conduire à des attaques DoS directes. Les audits de sécurité traditionnels peinent à aborder ces complexités, ce qui rend nécessaire une surveillance en temps réel, des avertissements et des solutions d'interception dynamiques.

Garantir la sécurité comportementale:

Les statistiques de l’AMSC révèlent que 90 % des attaques réseau proviennent de tentatives d’hameçonnage. Cette tendance se maintient dans le domaine du Web3, où les attaquants ciblent les clés privées des utilisateurs ou les fonds on-chain par le biais de liens de phishing ou de messages frauduleux sur des plateformes comme Discord, X et Telegram.

Les interactions on-chain ont une courbe d'apprentissage raide, qui est intrinsèquement contre-intuitive. Même une signature hors ligne peut entraîner des pertes de millions de dollars. Savons-nous ce que nous autorisons lorsque nous cliquons sur cette signature ? Le 22 janvier 2024, un utilisateur de cryptomonnaie est tombé victime d'une attaque de phishing, signant une signature de Permit avec des paramètres incorrects. Après avoir obtenu la signature, le pirate informatique a utilisé l'adresse du portefeuille autorisée pour transférer des jetons d'une valeur de 4,2 millions de dollars depuis le compte de l'utilisateur.

Les faiblesses de l'environnement de sécurité côté utilisateur peuvent également entraîner une perte d'actifs. Par exemple, lorsqu'un utilisateur importe une clé privée dans une application de portefeuille basée sur Android, la clé privée reste souvent dans le presse-papiers du téléphone après la copie. Dans ce scénario, lors de l'ouverture d'un logiciel malveillant, la clé privée peut être lue et automatiquement utilisée pour transférer des actifs du portefeuille ou voler les actifs de l'utilisateur après une période de latence.

À mesure que de plus en plus de nouveaux utilisateurs entrent dans Web3, les problèmes de sécurité dans l'environnement côté utilisateur deviendront une préoccupation importante.

Renforcer la sécurité du protocole:

Les attaques de réentrance restent l'un des plus grands défis pour la sécurité des protocoles. Malgré l'adoption de nombreuses stratégies de contrôle des risques, des événements impliquant de telles attaques se produisent encore fréquemment. Par exemple, en juillet dernier, Curve a subi une grave attaque de réentrance en raison d'une faille de compilateur dans son langage de programmation de contrat Vyper, entraînant des pertes allant jusqu'à 60 millions de dollars, ce qui a suscité de sérieux doutes sur la sécurité de DeFi.

Bien qu'il existe de nombreuses solutions de type "boîte blanche" pour la logique du code source du contrat, des événements comme le piratage de Curve révèlent un problème significatif : même si le code source du contrat est impeccable, des problèmes de compilation peuvent entraîner des différences entre le runtime final et la conception attendue. Convertir des contrats du code source au runtime réel est un processus complexe, chaque étape pouvant potentiellement entraîner des problèmes inattendus, et le code source lui-même peut ne pas couvrir entièrement tous les scénarios potentiels. Par conséquent, se fier uniquement à la sécurité du code source et du niveau du compilateur est loin d'être suffisant ; des vulnérabilités peuvent encore apparaître en raison de problèmes de compilation.

Par conséquent, la protection à l'exécution deviendra nécessaire. Contrairement aux mesures de contrôle des risques existantes qui se concentrent sur le niveau du code source du protocole et prennent effet avant l'exécution, la protection à l'exécution implique que les développeurs de protocoles écrivent des règles de protection à l'exécution et des opérations pour gérer les situations imprévues pendant l'exécution. Cela aide à l'évaluation en temps réel et à la réponse aux résultats de l'exécution en temps réel.

Selon les prévisions de Bitwise, une société de gestion d'actifs de crypto-monnaie, la valeur totale des actifs de crypto-monnaie atteindra 16 billions de dollars d'ici 2030. Si nous analysons de manière quantitative du point de vue de l'évaluation des risques de coûts de sécurité, la survenance d'incidents de sécurité on-chain entraîne presque une perte de 100 % des actifs, de sorte que le facteur d'exposition (EF) peut être fixé à 1, et donc la perte unique espérée (SLE) est de 16 billions de dollars. Avec un taux d'occurrence annualisé (ARO) de 1 %, nous pouvons obtenir une perte espérée annualisée (ALE) de 160 milliards de dollars, qui est la valeur maximale du coût de l'investissement en sécurité dans les actifs de crypto-monnaie.

Étant donné la gravité, la fréquence et la croissance rapide de l'ampleur du marché des incidents de sécurité liés aux cryptomonnaies, nous pouvons prévoir que la sécurité de Web3 sera un marché de cent milliards de dollars, en croissance rapide avec l'expansion du marché et de la base d'utilisateurs de Web3. De plus, compte tenu de la croissance massive des utilisateurs individuels et de la préoccupation croissante pour la sécurité des actifs, nous pouvons anticiper une croissance géométrique de la demande de services et de produits de sécurité de Web3 sur le marché C-side, représentant un marché bleu encore largement à explorer.

Analyse du paysage de sécurité Web3

Avec l'émergence continue de problèmes de sécurité dans Web3, on observe une augmentation notable de la demande pour des outils avancés pouvant protéger les actifs numériques, vérifier l'authenticité des NFT, surveiller les applications décentralisées et garantir le respect des réglementations anti-blanchiment. Les statistiques indiquent que les principales sources de menaces de sécurité auxquelles Web3 est actuellement confronté incluent :

• Attaques de pirates informatiques ciblant des protocoles
• Escroqueries ciblant les utilisateurs, hameçonnage et vol de clés privées
• Attaques de sécurité ciblant la blockchain elle-même

Pour faire face à ces risques, les entreprises sur le marché actuel se concentrent principalement sur l'offre de services et d'outils dans deux voies principales : les tests et les audits ToB (pre-chaîne) et la surveillance ToC (sur chaîne). Par rapport à ToC, les acteurs de la voie ToB sont présents sur le marché depuis plus longtemps et continuent de voir de nouveaux entrants. Cependant, à mesure que l'environnement du marché Web3 devient plus complexe, les audits ToB ont du mal à faire face à diverses menaces de sécurité, mettant en évidence l'importance croissante de la surveillance ToC et stimulant ainsi sa demande.

• ToB:

Les entreprises représentatives sur le marché actuel, telles que Certik et Beosin, offrent des services de test et d'audit ToB. Ces entreprises fournissent principalement des services au niveau des contrats intelligents, réalisant des audits de sécurité et une vérification formelle des contrats intelligents. Grâce à des méthodes pré-chaîne, telles que l'analyse de la visualisation du portefeuille, l'analyse des vulnérabilités des contrats intelligents et les audits de sécurité du code source, ces entreprises peuvent détecter dans une certaine mesure les vulnérabilités des contrats intelligents et atténuer les risques.

• ToC

La surveillance ToC est exécutée on-chain, impliquant l'analyse des risques du code de contrat intelligent, des états on-chain, des métadonnées de transaction utilisateur, de la simulation de transaction et de la surveillance de l'état. Comparé au ToB, les entreprises de sécurité côté C dans l'espace Web3 ont été établies relativement plus tard, mais elles ont connu une croissance remarquable. Les services fournis par les entreprises de sécurité Web3 comme GoPlus sont progressivement appliqués à travers divers écosystèmes au sein de Web3.

Depuis sa création en mai 2021, GoPlus a connu une croissance rapide des appels API quotidiens, passant de quelques centaines de requêtes par jour initialement à vingt millions d'appels par jour lors des pics de marché. Le graphique suivant illustre l'évolution des appels API Token Risk de 2022 à 2024, mettant en valeur le taux de croissance de l'importance de GoPlus dans le domaine Web3.

Le module de données utilisateur introduit par GoPlus est devenu une partie intégrante de diverses applications Web3, jouant un rôle crucial dans les principaux sites Web du marché comme CoinMarketCap (CMC), CoinGecko, Dexscreener, Dextools, les échanges décentralisés de premier plan comme Sushiswap, Kyber Network, et les portefeuilles comme Metamask Snap, Bitget Wallet, Safepal.

De plus, ce module a été adopté par des sociétés de services de sécurité des utilisateurs telles que Blowfish, Webacy et Kekkai, ce qui indique le rôle crucial du module de données de sécurité des utilisateurs de GoPlus dans la définition de l'infrastructure de sécurité de l'écosystème Web3 et sa position significative dans les plates-formes décentralisées contemporaines.

GoPlus propose principalement les services API suivants, offrant des informations complètes sur les données de sécurité des utilisateurs grâce à une analyse ciblée des données de plusieurs modules clés. L'objectif est de prévenir les menaces de sécurité en évolution et de relever les défis multifacettes de la sécurité Web3.

• API de risque de jeton: Évalue les risques associés à différentes crypto-monnaies.
• API de Risque NFT : Évalue les risques associés à divers NFT.
• API d'adresse malveillante: identifie et signale les adresses associées à la fraude, au phishing et à d'autres activités malveillantes.
• API de sécurité d'application décentralisée : Fournit une surveillance en temps réel et une détection de menaces pour les applications décentralisées.
• API de contrat d'approbation : Gère et contrôle les autorisations d'invocation de contrat intelligent.

Dans la piste C-side, nous avons également observé Harpie. Harpie se concentre sur la protection des portefeuilles Ethereum contre le vol et collabore avec des entreprises telles que OpenSea et Coinbase. Ils ont protégé des milliers d'utilisateurs contre les arnaques, les attaques de piratage et les vols de clés privées. Leur approche produit englobe à la fois la surveillance et la récupération. Ils surveillent les portefeuilles pour identifier les vulnérabilités ou les menaces, notifient rapidement les utilisateurs dès leur découverte et aident à la remédiation. Ils répondent rapidement aux utilisateurs qui ont été victimes d'attaques de piratage ou d'arnaques, aidant à sauver leurs actifs. Leurs efforts ont été très efficaces pour renforcer la sécurité des portefeuilles Ethereum.

De plus, ScamSniffer propose des services sous la forme d'un plugin de navigateur. Ce produit effectue des vérifications en temps réel grâce à un moteur de détection de sites Web malveillants et de multiples sources de données blacklistées avant que les utilisateurs n'ouvrent des liens, les protégeant ainsi des impacts des sites Web malveillants. Pendant les transactions en ligne, il détecte les escroqueries telles que le phishing pour protéger la sécurité des actifs des utilisateurs.

Solutions de sécurité de nouvelle génération : Sauvegarder l'avenir de Web3

Pour répondre à des problématiques telles que la sécurité des actifs, la sécurité comportementale, la sécurité du protocole et les besoins de conformité on-chain, nous avons étudié les solutions proposées par GoPlus et Artela. Elles visent à comprendre comment elles soutiennent les applications Web3 à grande échelle en maintenant des environnements de sécurité utilisateur et des environnements opérationnels on-chain.

1. Environnement de sécurité de l'utilisateur Infrastructure

La sécurité des transactions blockchain constitue la pierre angulaire de la sécurité des applications Web3 à grande échelle. Avec des attaques de hackers fréquentes on-chain, des attaques de phishing et des rug pulls, il est crucial de garantir la traçabilité des transactions on-chain, l'identification des comportements suspects on-chain et la sécurité des profils utilisateurs. Sur cette base, GoPlus a lancé la plateforme SecWareX, la première plateforme complète de détection de sécurité personnelle pour Web3.

SecWareX est un produit de sécurité personnelle Web3 construit sur le protocole de sécurité de l'utilisateur SecWare, fournissant une solution de sécurité complète tout-en-un qui comprend l'identification en temps réel des attaques en cours de chaîne, des avertissements précoces, une interception rapide et la résolution des litiges. Il prend également en charge des stratégies d'interception de sécurité personnalisées pour les contrats d'émission d'actifs adaptées à des scénarios spécifiques.

Pour l'éducation à la sécurité des comportements des utilisateurs, SecWareX introduit le programme Learn2Earn, combinant astucieusement l'apprentissage des connaissances en matière de sécurité avec des incitations en jetons, permettant aux utilisateurs de renforcer leur sensibilisation à la sécurité tout en gagnant des récompenses tangibles.

1. Solutions de conformité des fonds

La lutte contre le blanchiment d'argent (AML) est l'un des besoins les plus pressants sur les blockchains publiques. Sur les chaînes publiques, l'analyse de facteurs tels que les sources de transaction, le comportement attendu, les montants et les fréquences peut aider à identifier rapidement un comportement suspect ou anormal. Cela aide les échanges décentralisés, les portefeuilles et les agences de réglementation à détecter des activités illégales potentielles telles que le blanchiment d'argent, la fraude et les jeux d'argent, et à prendre des mesures opportunes telles que des avertissements, des blocages d'actifs ou des signalements aux autorités pour renforcer la conformité DeFi et l'application à grande échelle.

Avec l'enrichissement continu des comportements on-chain, le Know Your Transaction (KYT) pour les applications décentralisées deviendra un préalable indispensable pour les applications à grande échelle. L'API d'adresse malveillante de GoPlus est cruciale pour que les échanges, les portefeuilles et les services financiers opérant dans Web3 se conforment aux exigences réglementaires et assurent leurs opérations, soulignant le lien intrinsèque entre la conformité réglementaire et le progrès technologique dans le domaine Web3. Cela souligne l'importance d'une surveillance et d'une adaptation continues pour sauvegarder l'intégrité de l'écosystème et la sécurité des utilisateurs.

1. Protocoles de sécurité on-chain

Artela est le premier chaîne publique de Layer1 native à prendre en charge la protection de l'exécution. Grâce à la conception EVM++, le module d'extension natif intégré dynamiquement d'Artela, Aspect, prend en charge l'ajout de logique d'extension à divers points du cycle de vie de la transaction, en enregistrant l'état d'exécution de chaque appel de fonction.

Lorsqu'un appel réentrant menaçant se produit pendant l'exécution de la fonction de rappel, Aspect détecte et retire immédiatement la transaction pour empêcher les attaquants d'exploiter les vulnérabilités de réentrance. Par exemple, pour se protéger contre les attaques réentrantes sur les contrats Curve, Artela fournit une solution de sécurité de niveau protocole natif de la chaîne pour diverses applications DeFi.

Avec l'augmentation de la complexité du protocole et de la diversité des compilateurs, l'importance des solutions de protection de l'exécution on-chain, par opposition aux vérifications statiques de la logique du code de contrat dans des solutions "boîte blanche", devient plus marquée.

Conclusion

Le 10 janvier 2024, la SEC a officiellement annoncé l'approbation de l'inscription et de la négociation d'un ETF Bitcoin au comptant, marquant la étape la plus significative vers l'adoption généralisée des actifs cryptographiques. À mesure que les environnements politiques se développent et que les mesures de sécurité se renforcent, nous assisterons inévitablement à l'arrivée d'applications Web3 à grande échelle. Si les applications Web3 à grande échelle sont des vagues turbulentes, alors la sécurité Web3 est le solide barrage construit pour protéger les actifs des utilisateurs, résister aux tempêtes externes et garantir que tout le monde navigue en toute sécurité à travers chaque vague.

Avertissement：

1. Cet article est reproduit à partir de [BuidlerDAO], Tous les droits d'auteur appartiennent à l'auteur original [BuidlerDAO]. Si vous avez des objections à cette réimpression, veuillez contacter le Porte Apprendrel'équipe, et ils s'en occuperont rapidement.
2. Clause de non-responsabilité : Les points de vue et opinions exprimés dans cet article sont uniquement ceux de l'auteur et ne constituent aucun conseil en investissement.
3. Les traductions de l'article dans d'autres langues sont effectuées par l'équipe Gate Learn. Sauf mention contraire, il est interdit de copier, distribuer ou plagier les articles traduits.