Les violations de données par des tiers ont explosé. Le problème? Les entreprises, y compris les bourses de crypto-monnaie, ne savent pas comment s’en protéger. Lorsque les échanges signent de nouveaux fournisseurs, la plupart s’attendent naturellement à ce que leurs fournisseurs emploient le même niveau de contrôle qu’eux. D’autres n’en tiennent pas du tout compte. À l’ère d’aujourd’hui, ce n’est pas seulement une bonne pratique de tester les vulnérabilités tout au long de la chaîne d’approvisionnement, c’est absolument nécessaire.
De nombreuses bourses sont soutenues par des financiers internationaux et ceux qui découvrent les technologies financières. Beaucoup sont même nouveaux dans le domaine de la technologie, soutenus par des investisseurs en capital-risque qui cherchent à se mouiller les pieds dans une industrie en plein essor. En soi, ce n’est pas nécessairement un problème. Cependant, les entreprises qui n’ont pas grandi dans le domaine de la fintech ne saisissent souvent pas pleinement l’étendue des risques de sécurité inhérents au fait d’être le dépositaire de centaines de millions de dollars d’actifs numériques.
Nous avons vu ce qui se passe face à une sécurité inadéquate, qui va au-delà de la gestion des fournisseurs et s’étend aux ponts inter-chaînes. Rien qu’en octobre, Binance a fait face à un piratage de pont d’une valeur de neuf chiffres. Ensuite, il y a aussi le piratage du pont Wormhole, une autre brèche à neuf chiffres. Le piratage du pont Ronin a entraîné la perte de plus d’un demi-milliard de dollars d’actifs.
En fait, un nouveau rapport indique que sur une période de deux ans, plus de 2,5 milliards de dollars d’actifs ont été volés grâce à des hacks de ponts inter-chaînes, éclipsant les pertes associées aux violations liées aux prêts financiers décentralisés et aux échanges décentralisés combinés.
Cependant, les violations de tiers ne sont pas seulement un problème pour l’industrie de la cryptographie, et elles ne se limitent certainement pas aux petits acteurs. Plus tôt cette année, le système scolaire de New York a connu une brèche impliquant un fournisseur tiers qui a touché plus de 800 000 personnes. Les violations de tiers sont la nouvelle frontière pour les mauvais acteurs.
Lié: Les répressions gouvernementales arrivent à moins que la crypto ne commence à s’auto-contrôler
Cela est d’autant plus vrai que les États-nations s’appuient de plus en plus sur les pirates en matière de politique étrangère. En particulier, des groupes de Corée du Nord et de Russie recherchent des pots de miel à partir desquels ils peuvent siphonner des actifs. Cela fait de l’industrie de la crypto-monnaie une cible de choix.
La seule façon d’endiguer ces problèmes avant qu’ils ne détruisent l’industrie est de réaligner la façon dont elle perçoit les initiatives de sécurité tierces. Les tiers doivent faire l’objet d’une vérification complète et approfondie avant d’être autorisés à accéder aux données institutionnelles de quelque nature que ce soit. Une fois qu’ils sont autorisés à accéder, il est essentiel de limiter leur portée aux seules données absolument nécessaires et de révoquer ces autorisations lorsqu’elles ne sont plus nécessaires, ce qui aurait été bénéfique pour les personnes impliquées dans la violation de Ronin. Au-delà de cela, il est essentiel de revoir les pratiques de confidentialité de chaque fournisseur.
Comme pour les ponts, le risque des fournisseurs tiers est lié au système de l’institution. La plupart des ponts inter-chaînes sont violés après l’introduction de bogues dans le code ou lorsque des clés sont divulguées. Ces attaques de pont peuvent être atténuées et, dans de nombreux cas, évitées. Que les violations résultent de faux dépôts ou de problèmes de validateur, l’erreur humaine est souvent un problème. Après que les piratages aient fait la une des journaux, les enquêtes montrent que ces erreurs de code auraient pu être corrigées avec prévoyance.
En particulier, quelles étapes auraient pu avoir un effet sur les hacks cross-bridge, comme Binance, que nous avons récemment vus ? Le code Bridge doit être régulièrement audité et testé avant et après sa publication. L’un des moyens les plus efficaces d’y parvenir est d’utiliser des primes de bogues. Les adresses de contrats intelligents nécessitent une surveillance constante, tout comme les faux dépôts. Il devrait y avoir une équipe de sécurité en place, qui utilise l’intelligence artificielle pour signaler les risques potentiels, pour superviser ces efforts de gestion des risques.
Lié: Les fédéraux arrivent pour le métaverse, d’Axie Infinity à Bored Apes
Avec plus de réflexion sur la sécurité dès le départ, il y aurait moins de mauvais titres. Il est beaucoup moins coûteux d’engager des pirates informatiques pour trouver des exploits avant que les mauvais acteurs ne le fassent que d’attendre que les mauvais acteurs les trouvent eux-mêmes.
Historiquement, l’industrie a eu sa juste part de mauvais titres. Il a même eu sa juste part de hacks à neuf chiffres. Cette année, il semble qu’ils soient devenus une partie presque acceptée de l’industrie des actifs numériques. Cependant, alors que la politique devient de plus en plus étroitement liée à la réglementation de la crypto-monnaie, jamais auparavant il n’y a eu une plus grande menace. À mesure que les pirates informatiques soutenus par les États-nations tireront davantage parti de ces connexions tierces, ils feront l’objet d’un examen plus approfondi. Cela ne fait aucun doute. Ce n’est qu’une question de quand.
Cette question recevra probablement une réponse dès que le Congrès des États-Unis aura finalisé une nouvelle législation en la matière. Il est logique que la réglementation soit la prochaine étape logique – à moins que l’industrie n’agisse avec une grande hâte.
Richard Garner est le PDG de Modulus, qui développe des technologies pour des institutions telles que la NASA, le Nasdaq, Goldman Sachs, Merrill Lynch, JPMorgan Chase, Bank of America, Barclays, Siemens, Shell, Microsoft, l’Université Cornell et l’Université de Chicago.
Cet article est à des fins d’information générale et n’est pas destiné à être et ne doit pas être considéré comme un conseil juridique ou d’investissement. Les vues, pensées et opinions exprimées ici sont celles de l’auteur seul et ne reflètent pas ou ne représentent pas nécessairement les vues et opinions de Cointelegraph.