Le secteur crypto en crise : avril enregistre un nombre record de piratages

Un mois noir pour l'écosystème crypto

Le mois d'avril 2024 restera gravé dans l'histoire du secteur crypto comme le plus violent jamais enregistré. Selon les données de DefiLlama, 29 projets crypto ont subi des piratages ou des exploits, un record mensuel inégalé. Parmi eux, deux attaques ont particulièrement marqué les esprits : celle de la plateforme d'échange Drift, basée sur Solana, et celle de l'application de restaking Kelp DAO, sur Ethereum. Ensemble, ces deux incidents ont engendré des pertes estimées à 579 millions de dollars.

Cette vague de piratages a semé le doute parmi les investisseurs et les passionnés de crypto. Beaucoup s'interrogent désormais sur la viabilité des technologies décentralisées, remettant en question les compromis inhérents à ce modèle.

Des failles humaines plutôt que techniques

Contrairement aux idées reçues, les attaques récentes ciblent davantage les faiblesses humaines que les vulnérabilités des systèmes. Michael Pearl, vice-président stratégie chez Cyvers, une entreprise spécialisée dans la sécurité crypto, confirme cette tendance : « Actuellement, la DeFi semble être la cible principale. Tout indique que les pirates se concentrent désormais sur l'exploitation des humains plutôt que des systèmes. »

Drift : une attaque par ingénierie sociale

L'un des exemples les plus frappants est celui de Drift. Des pirates nord-coréens ont compromis deux employés de la plateforme via une campagne d'ingénierie sociale sophistiquée. Une fois infiltrés, ils ont obtenu des droits d'administration, leur permettant de détourner 285 millions de dollars des utilisateurs.

Kelp DAO : une faille de configuration critique

De son côté, Kelp DAO a été victime d'une faille liée à son utilisation du pont crypto LayerZero. Le protocole avait configuré son système pour n'exiger qu'un seul opérateur, une erreur exploitée par les hackers pour s'emparer de 273 millions de dollars.

La centralisation, un point faible persistant

Michael Egorov, fondateur des protocoles DeFi Curve Finance et Yield Basis, pointe du doigt un problème récurrent : la centralisation. « Nous devons réduire au maximum les points de défaillance uniques », déclare-t-il. « La conception des protocoles DeFi doit viser à minimiser les failles centrées sur l'humain, et non les amplifier. »

Les attaques contre Drift et Kelp DAO illustrent parfaitement cette vulnérabilité. Dans les deux cas, des faiblesses centralisées ont permis aux pirates de causer des dégâts considérables.

Les bugs de code, première cause des piratages

Pourtant, la centralisation n'est pas la seule menace. Sur les 29 incidents de piratage recensés en avril, 83 % étaient dus à des bugs de code. Les experts en sécurité crypto expliquent cette tendance par l'évolution des outils des pirates.

Grâce à l'intelligence artificielle, les hackers peuvent désormais analyser des milliers de lignes de code en quelques secondes. Auparavant, cette tâche devait être effectuée manuellement, ce qui était bien plus long et coûteux.

Malgré leur fréquence, les bugs de code n'ont représenté qu'une infime partie des pertes totales d'avril : 42 millions de dollars sur 635 millions, soit seulement 6,6 %. Un paradoxe qui souligne la gravité des attaques ciblant les failles humaines.

Un record de piratages, mais pas de pertes

Si avril 2024 détient le record du nombre de piratages, il n'est pas le pire mois en termes de pertes financières. En décembre 2020, des pirates auraient dérobé 3,5 milliards de dollars lors du piratage des portefeuilles de LuBian, une entreprise de minage de Bitcoin.

Cette attaque, restée secrète pendant près de cinq ans, n'a été révélée que par Arkham Intelligence, une plateforme d'analyse blockchain. Aucune des parties impliquées n'a jamais officiellement reconnu le piratage.

Contrairement à avril 2024, où la majorité des pertes provenaient de failles techniques ou humaines, l'attaque de LuBian était exceptionnelle par son ampleur et son caractère isolé.