KPMG pointe les efforts à mener dans la sécurité du Web3
La branche française du géant KPMG a publié un rapport, dans lequel elle met en exergue l’importance à donner à la sécurité dans notre écosystème. Elle insiste notamment sur les audits de smart contract et le besoin de recruter plus d’experts pour faire face à la pénurie du secteur.
le 16 juin 2022 à 9:00.
3 minutes de lecture
KPMG insiste sur l’importance de la sécurité
KPMG, le leader mondial du conseil et de l’expertise comptable, présente un rapport dans lequel il met en lumière l’importance devant être donnée à la sécurité des applications du Web 3.0. En effet, si les principales blockchains publiques sont construites de manière à ce qu’une attaque frontale soit difficile, ce n’est pas le cas des applications qui viennent s’y greffer.
Ce constat fait d’ailleurs écho à une réflexion, que le fondateur d’Ethereum (ETH), Vitalik Buterin, a partagé le mois dernier sur Twitter. Il disait qu’il souhaitait qu’Ethereum soit capable d’être résilient, même aux pires menaces, alors que les applications construites dessus présentent des failles loin des standards qu’il espère :
Contradiction between my desire to see Ethereum become an L1 that can survive truly extreme circumstances and my realization that many key apps on Ethereum already rely on far more fragile security assumptions than anything we consider acceptable in Ethereum protocol design.
— vitalik.eth (@VitalikButerin) May 17, 2022
La vulnérabilité des smart contracts est effectivement un angle d’attaque lucratif pour les hackers. Cela est d’autant plus vrai que chacun peut, en théorie, déployer sa propre dApp sur des blockchains telles qu’Ethereum. Avec tous les éventuels problèmes que cela implique.
Ce sont principalement ces failles de sécurité dans les smart contracts que KPMG pointe du doigt. La société met en avant que si l’on compare le premier trimestre 2022, à celui de l’année dernière, les fonds volés dans les protocoles de finance décentralisée (DeFi) ont explosé de 692 %, amenant des pertes à hauteur de 1,2 milliard de dollars.
Nous étions également revenus sur des montants similaires il y a quelques semaines, suite à un rapport de Chainalysis. Des chiffres qui sont essentiellement dus aux hacks de Ronin et de Wormhole.
? Pour aller plus loin – Retrouvez notre guide sur les bonnes pratiques pour limiter le risque de hack
Ledger : la meilleure solution pour protéger vos cryptomonnaiesUne pénurie d’experts en audit
Le constat de KPMG est sans appel : sur les 5 plus gros hacks de la DeFi, 4 concernent des smart contracts non audités.
Au niveau mondial, la société estime que les experts spécialisés dans la sécurité des applications Web3 sont de l’ordre de 1 000 à 1 500. En parallèle, le rapport avance 18 000 développeurs actifs chaque mois. S’il est difficile de s’arrêter sur des chiffres exacts, on prend tout de même conscience que cela représenterait moins d’une personne capable de mener un audit, pour dix développeurs.
Pourtant, selon Immunify, 10,6 % de la capitalisation totale des cryptomonnaies était déposée dans des protocoles DeFi début 2022. Si l’on se réfère aujourd’hui à Defi Llama, on trouve un chiffre relativement proche, à savoir environ 8 %. Ce chiffre conséquent illustre l’importance qui doit être donnée à la sécurité.
Nombre d’experts en sécurité au niveau mondial selon KPMG
Le tableau ci-dessus montre la répartition géographique des experts en sécurité Web3. Nous constatons que les États-Unis et la Chine dominent le marché, ainsi que l’Inde dans une moindre mesure.
Ces chiffres sont encore trop faibles, compte tenu des ambitions de notre écosystème. De plus, la majorité des sociétés spécialisées sont encore jeunes, celles-ci n’ayant été créées qu’à partir de 2017.
Selon Trail of Bits, 78 % des failles les plus critiques pourraient être trouvées avec un outil automatisé. Même si la société rappelle dans le même temps que 50 % de la totalité de ces failles pourraient passer inaperçues avec le même outil. On comprend alors cette nécessité de trouver et de former des talents.
Les autres points de sécurité importants relevés par KPMG
Devenir un expert prend du temps et même après cela, rien ne garantit que toutes les failles d’une application puissent être trouvées. Pourtant, les audits doivent devenir une norme dans l’industrie et il y a fort à parier que la sécurité deviendra un secteur porteur à l’avenir.
Outre les smart contracts, KPMG insiste également sur l’ensemble des éléments qui viennent se greffer par-dessus une blockchain layer 1. Les sidechains, ainsi que les layer 2 comme les ZK et Optimistic Rollups peuvent, eux aussi, présenter des vecteurs d’attaques. Tout comme les attaques de phishing de manière plus générale.
La sécurité est donc l’un des défis majeurs, que doit relever notre écosystème afin de tendre à une plus grande démocratisation. C’est un processus normal de chaque nouvelle technologie. Mais comme dans tous les domaines, l’argent attire parfois des personnes mal intentionnées, ce qui demande alors une attention particulière de tous les acteurs du secteur.
? Dans l’actualité également – Les NFTs BAYC pourraient être la cible d’une nouvelle attaque, selon le cofondateur de Yuga Labs
Sources : KPMG, Defi Llama
Commander notre Livre pour tout comprendre aux cryptos
Publié aux Éditions Larousse
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Je découvre timidement le monde de la blockchain fin 2018 lors de ma quête de liberté financière. D'abord investi modérément, ce n'est que deux ans plus tard que je prends le pari de tout miser sur le mouvement qui se dessine alors. Je consacre ensuite 2021 à mieux me former pour acquérir plus de connaissances et de sérieux. Comme j'aime souvent le dire : j'ai encore un milliard de choses à apprendre. Et ce que je sais, je souhaite le partager avec vous.
Vincent Maire
1159 articles
