Chargement des prix…
Zipp Zipp Faire de la publicité
S'inscrire Se connecter
〽️NEUTRAL CoinDesk

Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage

Les exploits de smart contracts font la une, mais l'essentiel des fonds volés provient de clés compromises et de failles opérationnelles, un risque structurel que le MPC et l'abstraction de compte tentent désormais de…

Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage
Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage
Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage
Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage
Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage
Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage
Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage
Clés privées : 40 % des 16,69 Md $ de pertes crypto par piratage

Environ 16,69 milliards de dollars ont été perdus à ce jour dans des piratages crypto, des attaques de bridges et des exploits DeFi, et près de 40 % de ce total provient de clés privées compromises plutôt que de failles dans le code blockchain ou des smart contracts, selon les données de DeFiLlama. La société de sécurité CertiK a indiqué à CoinDesk que les incidents de sécurité opérationnelle sont en hausse pendant que les exploits de smart contracts reculent, un signe que les attaquants suivent la voie de moindre résistance, les projets concentrant leurs dépenses d'audit sur le code.

Pourquoi c'est important

L'architecture à clé unique est le choix de conception de fond qui laisse l'industrie exposée. Wish Wu, cofondatrice et PDG de Pharos, l'a formulé sans détour : la plupart des infrastructures blockchain ont été conçues pour un modèle un-utilisateur, une-clé, dans lequel une clé volée vide tout instantanément, à l'opposé des normes de séparation des tâches et d'approbations multiples sur lesquelles la finance traditionnelle s'appuie depuis des décennies. Le Fan, fondateur de la couche de preuves ZK Cysic, a qualifié les piratages de clés privées d'échec de gestion des clés que l'industrie continue de présenter à tort comme un problème de cryptographie.

Le piratage de Bybit de février 2025 a cristallisé cette surface d'attaque qui ne cesse de s'élargir. Les attaquants ont compromis la chaîne d'approvisionnement logicielle d'un outil de développement tiers, glissé du code malveillant dans l'interface du portefeuille, et convaincu des dirigeants de signer le transfert de 1,5 milliard de dollars en Ethereum. Dès qu'une clé est suffisamment « chaude » pour être utile, elle vit au sein de services en exécution, d'identifiants cloud et d'opérateurs humains, et c'est cette couche environnante qui ne cesse d'être violée.

Impact sur le marché

Les mesures d'atténuation convergent. Le calcul multipartite (MPC) et la signature à seuil fragmentent le processus de signature, de sorte qu'aucune clé complète n'existe jamais en un seul endroit, privant les attaquants d'une cible unique à compromettre. L'abstraction de compte intègre directement dans le portefeuille des plafonds de dépense, des adresses approuvées et des gardiens de récupération sociale, empêchant un signataire compromis de vider les fonds seul. La connexion par passkey, l'imposition de hardware wallets et des procédures de gestion des clés plus strictes complètent l'arsenal. Wu a toutefois mis en garde : l'adoption reste inégale, la plupart des chaînes se contentant d'ajouter la sécurité comme une option plutôt que de l'intégrer à la couche protocole, l'écart que la prochaine vague de capitaux institutionnels examinera en premier.

Tokens associés
$ETH
#MPC#AccountAbstraction#PrivateKeys#OpSec

Questions fréquemment posées

  1. Quelle part des pertes liées aux piratages crypto provient de clés privées ?

    Environ 40 % des quelque 16,69 milliards de dollars perdus à ce jour dans des piratages crypto, des attaques de bridges et des exploits DeFi sont imputables à des clés privées compromises plutôt qu'à des failles de smart contracts ou de blockchain, selon les données de DeFiLlama relayées par CoinDesk.

  2. Pourquoi les défaillances de clés privées dépassent-elles les exploits de smart contracts ?

    La société de sécurité CertiK explique que les projets ont concentré leurs dépenses d'audit sur les smart contracts tout en laissant les couches opérationnelles exposées. La gestion opérationnelle des clés, les coffres de secrets, les dépendances logicielles et les opérateurs humains deviennent la voie de moindre…

  3. Qu'est-ce que le calcul multipartite (MPC) et comment réduit-il le risque lié aux clés ?

    Le MPC et la signature à seuil fragmentent le processus de signature, de sorte que la clé privée complète n'existe jamais en un seul endroit à un instant donné. Il n'y a aucun artefact unique à voler pour un attaquant, et une seule compromission ne peut donc pas vider les fonds.

  4. En quoi l'abstraction de compte change-t-elle la sécurité des portefeuilles ?

    L'abstraction de compte transforme les portefeuilles en comptes sous forme de smart contracts assortis de règles intégrées : plafonds de dépense, listes d'adresses approuvées et gardiens de récupération sociale. Un signataire compromis ne peut donc pas vider le compte à lui seul.

  5. Pourquoi le piratage de Bybit de février 2025 a-t-il marqué un tournant ?

    Les attaquants ont compromis la chaîne d'approvisionnement logicielle d'un outil de développement tiers, injecté du code malveillant dans l'interface du portefeuille de Bybit et piégé des dirigeants pour leur faire signer le transfert d'environ 1,5 milliard de dollars en Ethereum. L'exploit a exploité des personnes et…

Attribution de la source
Agrégé de CoinDesk · Vérifié · Dernière mise à jour il y a 1h
Ouvrir l'original →

Plus de Sécurité

Histoires que nos éditeurs pensent bien s'accorder avec celle-ci.

Plus ancien dans Sécurité

Rattrapez les couvertures antérieures de ce sujet.