Audité, mais piraté : le rôle crucial de la surveillance en temps réel dans le Web3

Le point de vue suivant a été rédigé par Michael Pearl, VP Go-To-Market, Cyvers.ai.

Le Rôle des Audits de Contrats Intelligents

Les audits de contrats intelligents sont indubitablement un élément crucial dans l’architecture de sécurité de tout projet crypto. Ces audits aident à identifier les vulnérabilités typiques et les bugs liés à la sécurité avant le déploiement du contrat. La réalisation de plusieurs audits par différentes entreprises est une pratique courante, visant à s’assurer que tout problème potentiel soit détecté et corrigé.

Cependant, bien que les audits réduisent les risques de piratage, ils ne rendent pas un système infaillible. Les audits ne sont qu’une partie de l’ensemble. Ils peuvent trouver des vulnérabilités communes, mais ils ne peuvent pas tenir compte des nouvelles attaques sophistiquées qui peuvent émerger après le déploiement. Par conséquent, se fier uniquement aux audits ne revient pas à faire tout ce qui est possible pour sécuriser un système.

Études de Cas : Audités, puis Piratés

La liste des projets qui ont été piratés, malgré les audits de leurs contrats intelligents—souvent plus d’une fois et par plus d’un prestataire d’audit—est malheureusement très longue. Plusieurs exemples récents illustrent la différence entre les attentes et les résultats réels.

• Dough Finance a été piraté le 12 juillet de cette année et a perdu 1,8M $. Les contrats du projet ont été audités par au moins une entreprise d’audit en novembre 2023 et ont même été qualifiés de “faible risque” par l’auditeur.
• UwU Lend a été piraté deux fois, les 10 et 13 juin de cette année, et a perdu 19,3M $. Les contrats intelligents de l’entreprise ont été audités par au moins une firme d’audit.
• Radiant Capital a été piraté le 3 janvier de cette année et a perdu 4,5M $. L’entreprise a affirmé que ses contrats avaient été audités par quatre sociétés d’audit différentes, décrites comme les “meilleures du monde” dans la documentation de l’entreprise.
• Les contrats intelligents de Euler Finance ont été exploités le 13 mai de l’année dernière, entraînant une perte de 197M $. Selon l’entreprise, leurs contrats avaient été audités par quatre entreprises leader dans le domaine de l’audit.
• Le protocole DeFi LI.FI a été exploité le 16 juillet de cette année et a perdu autour de 11M $. Deux ans avant l’attaque, l’entreprise avait publié un billet de blog vantant fièrement le fait qu’elle avait été auditée par deux prestataires d’audit.

L’élément Manquant : Surveillance en Temps Réel et Pré-dépistage des Transactions

De nombreuses entreprises négligent l’importance de la surveillance en temps réel et du pré-dépistage des transactions pour l’évaluation des risques. Ces composants sont essentiels pour une stratégie de sécurité globale.

La Surveillance en Temps Réel offre une supervision continue des contrats intelligents déployés, détectant et répondant aux problèmes de sécurité, escroqueries, fraudes, et autres incidents malveillants au fur et à mesure qu’ils se produisent. Cette approche proactive réduit significativement la fenêtre d’opportunité pour les pirates et permet une action immédiate pour atténuer les dommages potentiels.

Le Pré-dépistage des Transactions évalue le risque des transactions avant leur exécution, aidant ainsi à bloquer les acteurs malveillants et à prévenir les activités frauduleuses. En intégrant ce processus de dépistage, les entreprises peuvent s’assurer que seules les transactions légitimes sont traitées, renforçant ainsi davantage leur posture de sécurité.

La Nécessité des Mécanismes de Gestion de Crise

En plus de la surveillance en temps réel et du pré-dépistage des transactions, il est crucial de mettre en œuvre des mécanismes de gestion de crise tels que les fonctions de pause et autres disjoncteurs. Ceux-ci peuvent être automatisés ou manuels et sont vitaux pour réagir en temps réel aux alertes des systèmes de surveillance et de détection.

Conclusion

Les audits de contrats intelligents sont une partie essentielle de la sécurité Web3, mais ils ne sont pas suffisants en eux-mêmes. Pour sécuriser réellement les projets crypto, les entreprises doivent adopter une approche holistique incluant la surveillance en temps réel, le pré-dépistage des transactions, et des mécanismes de gestion de crise robustes. En intégrant ces mesures de sécurité avancées, les entreprises de cryptomonnaie peuvent améliorer considérablement leur posture de sécurité, protégeant ainsi leurs projets et les fonds des clients contre les menaces en constante évolution dans l’espace Web3.

Que pensez-vous de la perspective et de l’opinion de l’exécutif de Cyvers.ai ? Partagez vos pensées et opinions sur ce sujet dans la section des commentaires ci-dessous.