Le Web3 a un besoin urgent d'un changement de paradigme dans son approche de la sécurité

Il y a 3 mois Jérémie Levy

Divulgation : les points de vue et opinions exprimés ici appartiennent uniquement à l'auteur et ne représentent pas les points de vue et opinions de l'éditorial de crypto.news.

Au cours des vingt dernières années, le secteur bancaire a connu une transformation en matière de détection et de prévention de la fraude. Au départ, les analystes de la fraude agissaient comme des enquêteurs à l’ancienne, s’appuyant sur leur intuition et la communication directe, collaborant souvent avec les forces de l’ordre pour identifier et combattre la fraude. Avec moins d’options de paiement comme les virements bancaires, les cartes de crédit et les chèques, la fraude était plus simple à détecter et à contrôler. Les commerçants utilisaient des services de transaction sécurisés pour vérifier l’identité des titulaires de cartes, tandis que les banques utilisaient souvent des mécanismes bruts et fondés sur des règles pour lutter contre la fraude, ignorant les nuances des profils et des comportements des titulaires de cartes.

Avance rapide jusqu’à aujourd’hui, et le paysage est radicalement différent. La transition vers les cartes à puce EMV pour les transactions Card Present a déplacé l'attention vers les canaux en ligne et mobiles. À mesure que les moyens de paiement se sont diversifiés, la fraude a également évolué, s’adaptant au monde numérique et à nos modes de vie hybrides. Ce processus a nécessité un changement stratégique dans les services de prévention de la fraude, incitant à l'adoption de nouvelles technologies pour détecter et prévenir les menaces émergentes.

Le Web3 a un besoin urgent d'un changement de paradigme dans son approche de la sécurité

Le système bancaire dans sa configuration actuelle étant fortement centralisé, monolithique et opposé au changement, relever ces défis n’est pas une tâche facile. Les infrastructures bancaires sont habituées aux écosystèmes fermés où la détection des fraudes est plus simple du fait de la grande disponibilité des profils et habitudes des clients. La notion d’acteur malveillant est inconnue. En termes simples, si quelqu'un tente d'effectuer un paiement non autorisé en votre nom, la banque le détecte non pas parce qu'elle peut identifier un mauvais acteur mais parce qu'elle vous connaît et que le paiement ne correspond pas à votre comportement.

Nous assistons désormais à des processus similaires dans web3. Les perturbations apportées par web3 entraînent de nombreuses vulnérabilités. Actuellement, l’accent est mis sur la correction de ces vulnérabilités via des audits de contrats intelligents et des bug bounties. Cependant, les utilisateurs sont souvent livrés à eux-mêmes face à des escroqueries et des attaques en constante évolution. Comme dans le secteur bancaire, de nombreuses mesures de sécurité dans web3 sont rétroactives, se concentrant sur l'enquête sur ce qui n'a pas fonctionné plutôt que sur sa prévention. De plus, il est difficile de créer des profils standards pour les utilisateurs ; la blockchain est liquide et le même utilisateur peut utiliser différentes adresses pour effectuer diverses tâches, par exemple une pour la détention et une pour le trading.

Résoudre les problèmes de sécurité du Web3 nécessite une approche intégrée avec une infrastructure de base, tout comme l'évolution de la sécurité dans les secteurs bancaire et des paiements sans espèces.

Dans cet environnement, il est irréaliste d’attendre de chaque utilisateur du Web3 qu’il navigue dans « l’enfer UX » du travail avec des agences d’enquête et des solutions de sécurité. Certains utilisateurs ont pris les choses en main en installant des extensions de sécurité pour protéger leur portefeuille. Cependant, la nécessité de telles mesures indique un défaut fondamental : la sécurité n’est pas l’état par défaut dans web3, comme elle devrait l’être.

au lieu d'il continue de payer des impôts. De plus, le simple fait de fournir des armes ou des armures aux gens ordinaires ne les rendra pas automatiquement plus sûrs. Tout acteur malveillant doté d’une plus grande sagesse de la rue et d’une plus grande expertise en matière d’armes à feu peut facilement contourner ces mesures élémentaires d’autodéfense, laissant la personne moyenne encore vulnérable et insuffisamment protégée.

Prenons l'exemple de l'attaque Angel Drainer sur Balancer en septembre 2023. Les attaquants ont détourné le DNS de Balancer, compromettant son interface et conduisant à des attaques de phishing sur les portefeuilles des utilisateurs. Plus de 1 500 victimes ont perdu au moins 350 000 $. L’installation d’extensions de sécurité ou de snaps MetaMask sur chacun de ces 1 500 portefeuilles aurait-elle été une défense efficace ? Il n’y a aucune certitude. La plupart des solutions de sécurité reposent sur des listes noires contenant des adresses d’arnaques déjà connues.

avons écrit ci-dessus, la blockchain est liquide : l'utilisateur utilise plusieurs adresses pour ses fonctions afin qu'un escroc puisse changer d'adresse avec la même facilité ; Lorsqu'une adresse frauduleuse a été identifiée, l'escroc en possède une nouvelle, toujours confidentielle. De plus, le temps nécessaire pour détecter une escroquerie à forte probabilité est long, car elle nécessite une enquête humaine et une masse critique de victimes pour être détectée efficacement.

Nous devons également comprendre que les utilisateurs les plus sans défense sont ceux qui ne savent pas du tout qu'ils ont affaire à une application Web3, comme cela se produira de plus en plus à l'avenir, où une interface Web2 ne sera qu'une porte conviviale vers une application Web3. application web3. Si les natifs du web3 sont victimes d’arnaques, pour les utilisateurs du web2, ce sera un bain de sang.

Dans le Web2, les modèles de sécurité se concentrent principalement sur la réaction aux attaques, mais le Web3, où les transactions sont irréversibles, exige une architecture de sécurité qui met l'accent sur la prévention. L'accent mis par le gouvernement actuel sur la lutte contre le blanchiment d'argent et l'évasion fiscale néglige la nécessité de protéger les utilisateurs contre les escroqueries. On s'inquiète davantage de la minorité impliquée dans des activités illicites que de la majorité qui risque de perdre ses fonds dans des escroqueries.

Considérons quelques exemples. Les portefeuilles ne sont pas légalement responsables d’empêcher – ou du moins de tenter d’empêcher – les transactions conduisant au retrait total des fonds. La majorité des portefeuilles ne donnent tout simplement pas la priorité à ce problème. Il n’y a aucun avantage financier à protéger les clients, et il n’y a aucune pénalité en cas de non-respect de cette protection. Les bourses décentralisées peuvent échanger différents types de jetons, notamment les « sh*coins » et les « memecoins ». Même si nombre d’entre eux peuvent être légitimes, même s’ils manquent de valeur fondamentale, d’autres sont explicitement conçus pour manipuler les acheteurs et orchestrer le vol par le biais d’attaques de type « tapis » ou « honeypot ». Une étude a révélé que le montant volé dans le cadre de ces escroqueries variait considérablement, allant d'environ 3 000 $ à 12 000 000 $.

Malgré des modèles de risque évidents, tels que des équipes anonymes ou des projets avec le plus de liquidités dans un portefeuille, les DEX ne signalent souvent pas ces jetons comme dangereux. Cette situation a conduit à une dichotomie où les projets Web3 doivent soit se soumettre à des réglementations qui ne traitent pas de manière adéquate les risques posés par les tiers et supporter de plein fouet le contrôle de la SEC, soit opérer dans l'ombre, étant effectivement irresponsables de tout préjudice causé aux utilisateurs tant que car ils en tirent de la valeur. Il existe un besoin urgent d'étendre les cadres réglementaires pour englober la protection des utilisateurs contre les risques non seulement au sein des projets eux-mêmes, mais également contre ceux provenant de l'extérieur.

Pour un environnement Web3 véritablement sécurisé, la sécurité doit être intégrée dans le tissu même de l'écosystème, garantissant que les utilisateurs n'ont pas besoin de s'armer pour se protéger. Nous devons passer de mesures de sécurité réactives à des mesures de sécurité proactives, en créant par défaut un environnement sûr et sécurisé. Ce n'est pas seulement un rêve ; c'est une nécessité pour une croissance durable et une confiance dans les technologies web3.

La clé pour y parvenir réside dans l’intégration de la sécurité directement dans l’infrastructure centrale du Web3. La sécurité ne doit pas être une réflexion après coup ou une couche supplémentaire à laquelle les utilisateurs doivent adhérer ; cela doit être inhérent à la technologie elle-même. Cette solution nécessite un effort de collaboration de la part de toutes les parties prenantes de l'écosystème web3, des développeurs et fournisseurs de plateformes aux organismes de réglementation et aux utilisateurs finaux.

Les utilisateurs doivent créer un fort sentiment d'urgence parmi tous les créateurs Web3 ; ils devraient exiger des solutions qui offrent non seulement des fonctionnalités de base telles que des swaps ou des transactions, mais qui assument également leurs responsabilités et assurent la protection.

Les fournisseurs d'infrastructures, tels que ceux proposant des nœuds en tant que service, doivent garantir que leurs systèmes sont protégés contre les attaques. Ils doivent fournir des points d’accès sécurisés et fiables à la blockchain, garantissant que les transactions et les données sont analysées et protégées à tout moment et par défaut. Les fournisseurs RPC et Node sont ici les acteurs clés, car ils peuvent multiplier l'accès aux protocoles de sécurité à tous leurs clients et, par conséquent, protéger tous leurs utilisateurs finaux.

décentralisé et, surtout, sûr et digne de confiance pour tous les utilisateurs. S’engager sur cette voie garantit non seulement nos actifs numériques, mais également la confiance qui est fondamentale au succès et à la croissance de cet espace révolutionnaire.

Kirill Tioufanov

Kirill Tioufanov est l'un des fondateurs en série de plusieurs entreprises de technologie profonde et est actuellement PDG et co-fondateur de Polyzoa, une couche de sécurité dynamique et adoptive pour les fournisseurs d'infrastructure Web3. Polyzoa protège l'écosystème Web3 contre les escroqueries et les menaces en offrant une sécurité non intrusive aux utilisateurs finaux, une intégration sans tracas pour les projets et des solutions évolutives et avantageuses pour les fournisseurs d'infrastructure.

Suivez-nous sur Google Actualités

  • Adoption du Web3 : battage publicitaire ou réalité ?
  • Examen du portefeuille principal&aofc; : le portefeuille Web3 pour relier, acheter, échanger et envoyer des crypto-monnaies
  • Histoire de l'année 2023 selon SCÈNE&aofc; : le rêve Web3 est-il mort&aofc; ?
  • Comment la course haussière des crypto-monnaies peut avoir un impact sur les jeux Web3 au-delà du jeu pour gagner
    • Tags: , , ,
    Des transactions record laissent les Stablecoins dans la poussière, rapport
    Il y a 4 heures Jonathan Christiani
    Près d'un milliard de jetons MATIC devraient générer des bénéfices  : voici comment
    Il y a 11 heures Jonathan Christiani
    Il reste 2 jours avant la réduction de moitié du BTC  : prédiction des meilleurs analystes sur les Altcoins Ethereum et O2T
    Il y a 17 heures Jérémie Levy
    bitcoin
    Bitcoin (BTC) $ 61,726.54 3.89%
    ethereum
    Ethereum (ETH) $ 3,017.13 2.91%
    tether
    Tether (USDT) $ 1.00 0.09%
    bnb
    BNB (BNB) $ 548.76 0.75%
    solana
    Solana (SOL) $ 134.58 4.54%
    usd-coin
    USDC (USDC) $ 1.00 0.05%
    staked-ether
    Lido Staked Ether (STETH) $ 3,012.65 2.89%
    xrp
    XRP (XRP) $ 0.497127 0.49%
    dogecoin
    Dogecoin (DOGE) $ 0.148655 5.52%
    the-open-network
    Toncoin (TON) $ 6.07 8.30%
    cardano
    Cardano (ADA) $ 0.450672 2.32%
    shiba-inu
    Shiba Inu (SHIB) $ 0.000022 2.55%
    avalanche-2
    Avalanche (AVAX) $ 34.44 1.92%
    tron
    TRON (TRX) $ 0.109847 2.59%
    wrapped-bitcoin
    Wrapped Bitcoin (WBTC) $ 61,719.54 3.81%
    bitcoin-cash
    Bitcoin Cash (BCH) $ 473.32 2.46%
    polkadot
    Polkadot (DOT) $ 6.67 0.48%
    chainlink
    Chainlink (LINK) $ 13.28 1.53%
    matic-network
    Polygon (MATIC) $ 0.674901 4.43%
    litecoin
    Litecoin (LTC) $ 80.18 0.75%
    near
    NEAR Protocol (NEAR) $ 5.50 1.59%
    internet-computer
    Internet Computer (ICP) $ 12.11 2.95%
    leo-token
    LEO Token (LEO) $ 5.81 1.00%
    uniswap
    Uniswap (UNI) $ 7.06 1.38%
    dai
    Dai (DAI) $ 1.00 0.04%
    aptos
    Aptos (APT) $ 9.15 1.83%
    ethereum-classic
    Ethereum Classic (ETC) $ 25.72 2.94%
    mantle
    Mantle (MNT) $ 1.15 0.61%
    first-digital-usd
    First Digital USD (FDUSD) $ 1.00 0.19%
    blockstack
    Stacks (STX) $ 2.31 3.49%
    okb
    OKB (OKB) $ 55.58 4.14%
    crypto-com-chain
    Cronos (CRO) $ 0.122334 4.60%
    filecoin
    Filecoin (FIL) $ 5.92 2.40%
    cosmos
    Cosmos Hub (ATOM) $ 8.14 0.24%
    stellar
    Stellar (XLM) $ 0.108408 1.14%
    arbitrum
    Arbitrum (ARB) $ 1.14 2.09%
    bittensor
    Bittensor (TAO) $ 456.46 9.42%
    render-token
    Render (RNDR) $ 7.82 4.80%
    maker
    Maker (MKR) $ 3,206.71 2.40%
    hedera-hashgraph
    Hedera (HBAR) $ 0.079758 0.71%
    vechain
    VeChain (VET) $ 0.038356 5.75%
    immutable-x
    Immutable (IMX) $ 1.91 0.49%
    kaspa
    Kaspa (KAS) $ 0.117948 3.61%
    dogwifcoin
    dogwifhat (WIF) $ 2.44 11.28%
    ethena-usde
    Ethena USDe (USDE) $ 1.00 0.07%
    injective-protocol
    Injective (INJ) $ 25.99 2.83%
    the-graph
    The Graph (GRT) $ 0.245315 4.38%
    optimism
    Optimism (OP) $ 2.20 2.16%
    wrapped-eeth
    Wrapped eETH (WEETH) $ 3,122.09 2.90%
    monero
    Monero (XMR) $ 118.14 4.83%