- Les outils de sécurité existants ont montré une capacité limitée à protéger les projets Web3 et les utilisateurs contre la perte de millions d'actifs numériques.
- Sacrifier la sécurité pour obtenir de l'argent rapidement est une formule désastreuse pour les projets dans l'espace Web3.
- L’intégration d’outils et de mécanismes de sécurité Web1 et Web2 éprouvés dans Web3 nécessitera un effort concerté.
Les technologies décentralisées s’imposent lentement mais sûrement dans le courant dominant, de nombreux gouvernements et banques centrales adoptant et réglementant de plus en plus les monnaies numériques.
Les entreprises, elles aussi, suivent le rythme de la recherche du diamant brut, l'unique un moyen de tirer parti des dernières technologies pour intégrer des milliards d’utilisateurs et générer des profits. Une refonte de la manière dont les particuliers et les entreprises effectuent des transactions est en cours.
Cette supplantation progressive des anciens systèmes financiers en faveur de la décentralisation a entraîné une montée en puissance des outils de sécurité Web3 automatisés conçus pour prendre en charge les examens de sécurité manuels.
Cependant, ceux disponibles sur le marché montrent une capacité limitée à protéger les projets Web3 et les utilisateurs contre la perte de millions d'actifs numériques. Rien que l’année dernière, les pirates et les fraudeurs du Web3 ont emporté 1,8 milliard de dollars de fonds volés.
La nouvelle de tels piratages dans un espace où les protocoles sont profondément imbriqués et où même une menace de sécurité mineure peut avoir des conséquences considérables pour des millions de personnes a parfois causé des dommages irréparables à la réputation de la cause.
Il n’est pas étonnant que la sécurité reste le principal obstacle à l’adoption massive du Web3. En tant qu'expert en sécurité à la tête d'une entreprise pionnière en matière de cybersécurité, je souhaite parler de sécurité. Laissez-moi vous montrer pourquoi cela va au-delà des intérêts personnels.
Sommaire
Avancez vite (mais ne cassez pas) les choses
En tant que l'un des premiers disciples de tout ce qui concerne le Web3, je suis ravi de voir les technologies décentralisées se développer de toutes les manières, y compris la nouvelle cryptographie, la preuve sans connaissance, les technologies liquides. stakingreprise, et plus encore.
Mais trop souvent, le moteur d’une croissance aussi rapide est soit l’argent, soit le désir d’être le premier à commercialiser un produit, ou les deux. Et qui peut les blâmer? Opérer dans un secteur naissant, où la concurrence est rude et où la pression des investisseurs pour produire des résultats rapides est omniprésente, est un véritable défi.
Le problème de cette approche est que l’infrastructure de sécurité destinée à assurer la sécurité des projets et des actifs qu’ils détiennent est généralement la première à être touchée. En plus de cela, il n’y a pas suffisamment de projets en cours pour sélectionner des partenaires de confiance et réputés qui se soumettront à un contrôle de sécurité approprié. Ainsi, il devient évident pourquoi la sécurité est la priorité obstacle important à l’adoption du Web3 À l'échelle.
La nuit est sombre et pleine de terreurs
Les technologies de registre distribué (DLT) comme la blockchain et les contrats intelligents qui les alimentent sont intrinsèquement dotées d'un certain degré de sécurité. Cela est dû aux techniques crypto au cœur des DLT et à l’immuabilité du code des contrats intelligents.
Pourtant, ni l’un ni l’autre ne sont dépourvus de leur talon d’Achille. Contrairement au Web2, où vider un protocole de ses actifs est un phénomène extrêmement rare, le Web3 expose les utilisateurs, les constructeurs, les projets, les investisseurs et tout le monde entre les deux à un point de défaillance unique : une ligne de code contenant une seule incohérence qui peut (et probablement sera) synonyme de désastre financier.
Les histoires d’exploits à point de défaillance unique abondent. L’exemple le plus récent et le plus désastreux est l’exploit de 81 millions de dollars de la plateforme de pontage inter-chaînes Orbit Chain.
Ironiquement, même l’immuabilité, pierre angulaire du Web3, comporte un piège. Que faire lorsqu'un bug est accidentellement intégré dans le code d'un contrat intelligent, sans offrir de recours approprié ?
Le récent Slerf L'incident, au cours duquel une pièce de monnaie Solana d'une valeur de 10 millions de dollars a été irrévocablement brûlée, offre le récit édifiant idéal.
Cela indique à tous ceux qui osent s'aventurer dans le Web3 que c'est toujours un endroit très dangereux sans protection adéquate.
Dépensez-en pour en obtenir
Pourtant, depuis que je travaille dans le Web3, l'un des plus grands défis a été de faire comprendre aux entreprises du secteur l'importance de revoir minutieusement leur technologie à intervalles réguliers.
Ne vous méprenez pas. Je sais qu’un Avis de sécurité coûteux peut être pénible lorsque les fonds sont faibles et que le besoin d’accéder au marché est pressant. Mais avec des millions, voire des milliards, en danger, les enjeux sont tout simplement trop élevés.
Les outils de sécurité Web3 existants ont fait un bond en avant et s'améliorent nettement au fil du temps. Il en existe même un désormais qui vous permet d'exécuter des requêtes et de découvrir des vulnérabilités dans les millions de contrats intelligents déployés sur chaque blockchain EVM intégrée. Il le fait en quelques secondes, protégeant ainsi des milliards d’actifs numériques.
Cependant, gardez à l’esprit que les auteurs de cybermenaces font constamment évoluer leurs techniques et recherchent de nouvelles façons d’exploiter le code.
Les versions précédentes du Web ont depuis longtemps résolu ces problèmes avec toute une gamme de solutions et d'initiatives de sécurité des applications Web telles que l'Open Worldwide Application Security Project (OWASP). Pendant ce temps, des entreprises similaires dans le Web3 en sont encore à leur phase embryonnaire.
Le nombre de projets fintech Web3 est en constante augmentation et se rapproche d’un état de stabilité. Un effort concerté pour transplanter des mécanismes et des processus de sécurité Web éprouvés dans le tissu de sécurité du nouveau paysage numérique est nécessaire pour atteindre l’équilibre.
Cela doit se produire parallèlement au développement continu de nouveaux et meilleurs outils pour relever les défis de sécurité propres au Web3.
A propos de l'auteur: Sipan Vardanian est co-fondateur et PDG d'Hexens, une société de solutions de cybersécurité pionnière d'un écosystème Web3 plus sûr. Fier récipiendaire de plusieurs prix de hacker en pentesting et OSINT, Sipan possède le titre de plus jeune responsable de la sécurité de l'information d'une banque arménienne à 22 ans et a été responsable du chapitre OWASP Arménie. Sipan est également co-fondateur d'ARMSec, la première conférence sur la sécurité en Arménie, et conseille plusieurs startups technologiques mondiales, offrant des conseils et des informations d'experts pour les aider à se développer et à prospérer dans leurs domaines respectifs.
Clause de non-responsabilité: Les points de vue, pensées et opinions exprimés dans l'article appartiennent uniquement à l'auteur et pas nécessairement à CCN, à sa direction, à ses employés ou à ses sociétés affiliées. Ce contenu est uniquement à titre informatif et ne doit pas être considéré comme un conseil professionnel.