Guide du développement du chiffrement : Technologies de sécurité Web3 et mécanismes de sécurité
TechFlow SélectionTechFlow Sélection
Guide du développement du chiffrement : Technologies de sécurité Web3 et mécanismes de sécurité
Comprendre en un article les technologies et mécanismes de sécurité populaires tels que l'abstraction des comptes Web3 et les transactions réversibles.
Dédié à des analyses Web3 approfondiesEn 2022, les pertes dues à des problèmes de sécurité dans le secteur Web3 — tels que des vulnérabilités dans les contrats intelligents, des piratages de ponts blockchain et des attaques de phishing — ont atteint un niveau record. Selon les données de l'Institut SAFEIS pour la sécurité, le montant total impliqué dans les incidents de sécurité blockchain a dépassé 75,3 milliards de dollars américains l'année dernière. Les défis de sécurité auxquels fait face le Web3 sont aujourd'hui plus sérieux que jamais.
D’un côté, ces pertes considérables dissuadent de nombreux utilisateurs potentiels d’entrer dans l’écosystème Web3. De l’autre, la sécurité constitue un facteur fondamental et indispensable pour tout projet blockchain de qualité. Pour permettre à davantage de personnes de participer activement au développement du Web3, il est urgent d’améliorer la sécurité dans l’univers cryptographique.
Il est facile de prévoir que 2023 sera une année marquée par des avancées significatives en matière de technologie de sécurité cryptographique. Ces nouvelles technologies renforceront directement l’expérience sécurisée des utilisateurs Web3 et augmenteront la valeur de développement des projets. Ce texte analysera les progrès réalisés dans les technologies de sécurité cryptographique ainsi que l'établissement de mécanismes de sécurité. N’hésitez pas à nous faire part de vos commentaires — discutons ensemble des enjeux de sécurité !
Sécurité Web3
Comme chacun le sait, la sécurité du Web3 ne devrait pas reposer sur un mécanisme centralisé. Toutefois, en raison du stade encore immature des technologies cryptographiques, de nombreux projets Web3 adoptent soit des mécanismes de sécurité hors chaîne centralisés, soit présentent des failles techniques. Ainsi, avec l’accroissement du nombre de participants au Web3, les problèmes de sécurité deviennent de plus en plus évidents. La sécurité cryptographique constitue l'une des pierres angulaires essentielles au développement durable du Web3. Présentons ci-dessous certaines technologies prometteuses qui retiendront l'attention cette année.
Abstraction des comptes
L'abstraction des comptes (Account Abstraction) est considérée comme une technologie clé pour protéger les actifs numériques et généraliser l'accès au Web3. Concrètement, elle sépare le signataire du compte lui-même, ce qui permet à chaque compte de définir ses propres règles pour valider une transaction, sans avoir besoin d’utiliser l'algorithme ECDSA basé sur une clé privée. Cette technologie simplifiera autant que possible l'utilisation complexe des portefeuilles actuels, rendant leur usage plus simple et sécurisé pour les utilisateurs ordinaires. Actuellement, Avatar est le premier portefeuille cryptographique sur le marché à avoir concrètement mis en œuvre cette technologie. En combinant le protocole OAuth, il permet aux utilisateurs de se connecter en un clic via leur compte Google, évitant ainsi des étapes fastidieuses comme l’installation d’une extension navigateur, le téléchargement d’une DApp ou la création d’un nouveau portefeuille.
Par ailleurs, la fonctionnalité « Social Recovery » (récupération sociale) peut être intégrée directement dans cette architecture. Elle permet au propriétaire du portefeuille de désigner un groupe de personnes pouvant, dans des circonstances spécifiques, transférer les actifs du portefeuille si la clé privée est perdue. Par exemple, le portefeuille Argent, un portefeuille décentralisé utilisant la récupération sociale, est devenu rapidement le « portefeuille de contrat intelligent » le plus populaire grâce à la sécurité offerte par cette technologie. De nombreuses autres innovations restent à explorer par les développeurs Web3. Pour en savoir plus sur les principes techniques sous-jacents, vous pouvez consulter l'article « L'avenir de l'abstraction des comptes Ethereum — EIP 4337 ».
Transactions réversibles
L’immuabilité des transactions blockchain est un véritable double tranchant. Les vols d’actifs cryptographiques sont fréquents, mais il n’existe aucun bouton « annuler » pour invalider une transaction, entraînant de lourdes pertes financières sans possibilité de recours. Des actifs cryptographiques prenant en charge des transactions réversibles pourraient inverser ces vols. Dans la deuxième moitié de l’année dernière, s’inspirant d’une proposition faite par Vitalik Buterin en 2018 concernant un standard ERC-20 réversible basé sur la gouvernance DAO, des chercheurs de l’université de Stanford ont proposé deux nouveaux standards : ERC-20R et ERC-721R, permettant la réversibilité des transactions.
Cette technologie permettrait, sans supprimer la transaction de la blockchain, de restituer les fonds à leur propriétaire légitime après coup, via un processus de vote judiciaire décentralisé. Un mécanisme appelé « tribunal décentralisé » est introduit : en cas de vol, la victime peut demander le gel des actifs ; puis, par un vote, le « tribunal » décide s’il faut geler les fonds, et sur la base des preuves fournies par les deux parties, tranche sur la propriété finale des actifs afin de résoudre le litige.
Cependant, passer de transactions irréversibles à des transactions réversibles soulève de nombreuses questions liées à la confiance. Qui peut initier une proposition de contestation ? Que se passe-t-il si une personne porte de fausses accusations bloquant ainsi indûment des fonds ? Qui peut devenir membre du tribunal d’arbitrage ? Et que faire face à des juges malveillants ou corrompus ? De plus, si les fonds litigieux ont été utilisés dans des transactions croisées, le processus de contestation peut devenir extrêmement long. Pour les bourses décentralisées (DEX), cette attente prolongée affecterait la liquidité des capitaux et freinerait le développement des applications construites dessus. Par conséquent, de nombreux défis techniques doivent encore être résolus avant que cette technologie ne puisse être déployée à grande échelle.
Technologie multi-chaînes
La sécurité multi-chaînes reste un élément clé pour briser l’isolement des données entre blockchains. Certains projets ont déjà réalisé des progrès notables dans ce domaine. Par exemple, Stargate Finance est la première DApp construite sur le protocole LayerZero. Grâce à son algorithme exclusif appelé « Delta (Δ) », il prétend résoudre « parfaitement » le dilemme du triangle impossible. En exploitant les capacités d’interopérabilité de Layer 0, il relie les îlots de liquidité entre différentes blockchains publiques, améliorant ainsi l’efficacité du capital du système tout en garantissant la sécurité. Il constitue ainsi le premier pont d’actifs natifs entièrement composable, rendant le transfert de liquidité inter-chaînes fluide, unique et sécurisé.
Par ailleurs, la plateforme Dex Chainge Finance utilise la technologie DCRM pour assurer la sécurité des actifs lors des transferts inter-chaînes. La technologie DCRM permet de diviser une clé complète en plusieurs fragments, qui n’ont jamais besoin d’être rassemblés ni pendant leur génération, ni lors de leur stockage ou utilisation. Ces fragments sont ensuite distribués à différents nœuds pour être conservés séparément. En appliquant cette technologie, Chainge analyse automatiquement les données de plusieurs DEX, trouve le meilleur taux de change pour l’utilisateur, et divise automatiquement les ordres de transaction sur plusieurs chaînes afin d’optimiser les bénéfices.
En résumé, contrairement aux solutions multi-chaînes traditionnelles telles que les modèles de notaires, les verrous de hachage temporels ou les relais, de nombreux projets commencent désormais à innover technologiquement pour construire des barrières de sécurité solides. Si ces nouvelles technologies répondent effectivement aux besoins de sécurité du Web3, cela ne pourra être confirmé qu’au fil du temps.
Mécanismes de sécurité Web3
Le développement et la maturation des technologies nécessitent du temps. Face à des menaces de sécurité omniprésentes, de nombreux acteurs Web3 choisissent également d’adopter des mécanismes de sécurité externes pour minimiser au maximum les risques.
Audit décentralisé
L’audit de sécurité est une étape cruciale pour prévenir les risques dans les projets Web3. Cette année, les services d’audit évolueront vers une plus grande accessibilité et une décentralisation accrue. D’une part, de plus en plus de projets reconnaissent l’importance vitale des audits de sécurité, et un grand nombre chercheront à obtenir des audits professionnels afin d’éviter des risques latents. Début 2023, la rubrique TinTin Meeting a invité des experts du secteur pour discuter de la sécurité des audits Web3, fournissant aux projets et aux utilisateurs des connaissances essentielles. Vous pouvez consulter ces contenus dans l'article « Auditer les contrats intelligents, la ligne de front la plus importante pour la sécurité blockchain ».
D’autre part, les audits évoluent vers une structure décentralisée, de plus en plus inspirée des organisations autonomes décentralisées (DAO). À l’image des tendances observées chez Code 4 Rena et Immunefi.com, les travaux de sécurité blockchain s’appuieront de plus en plus sur des petites équipes agiles formées temporairement pour répondre aux besoins spécifiques de chaque projet.
Prenons l'exemple de Code 4 Rena, qui organise des compétitions d’audit. Ces compétitions mettent en place trois rôles : gardiens (Wardens), commanditaires (Sponsors) et juges (Judges), afin de mener à bien l’audit d’un projet. À ce jour, Code 4 Rena collabore avec OpenSea, ENS, zkSync, Aave, Alchemix et Nouns.
Assurance décentralisée
Après les événements LUNA et FTX de l’année dernière, de nombreux acteurs du secteur ont pris conscience de l’importance de la sécurité, donnant naissance à une demande croissante pour des assurances décentralisées. Selon les statistiques, les services d’assurance décentralisés avaient déjà versé 11,5 millions de dollars de compensation à la fin de l’année 2022. De nombreux investisseurs se tournent désormais vers ces services afin de réduire au minimum leurs pertes et protéger leurs actifs.
Les services d’assurance décentralisés peuvent couvrir les risques inhérents aux actifs cryptographiques. Avec l’arrivée massive de nouveaux utilisateurs sur les marchés cryptos, la demande pour des produits d’assurance devrait continuer à croître. Les primes d’assurance varient actuellement entre 0,2 % et 0,9 % par mois, et la demande dépasse largement l’offre : de nombreux services sont déjà complets. Le secteur des assurances cryptographiques en est encore à ses balbutiements, avec de nombreux points à améliorer, notamment la liquidité, l’efficacité du capital, la facilité d’utilisation et les coûts. Toutefois, des progrès significatifs sont attendus en 2023.
En somme, l’industrie Web3 continuera en 2023 à intensifier ses efforts sur deux fronts : les technologies de sécurité cryptographique et les mécanismes de sécurité associés. En outre, en raison du caractère décentralisé du Web3, l’innovation en matière de sécurité s’opère dans un environnement ouvert et open source, ce qui permet d’en suivre en temps réel les progrès et l’efficacité, et ainsi de résoudre efficacement les problèmes de sécurité. En un sens, le succès du Web3 dépendra de sa capacité à innover au niveau de la sécurité pour relever les nouveaux défis posés par différentes architectures applicatives, en offrant une protection renforcée à la couche applicative et en procurant une plus grande sensation de sécurité aux utilisateurs de l’écosystème.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@OurTinTinLand
