
Pourquoi les projets ayant subi un audit sont-ils toujours victimes d'attaques de hackers ?
TechFlow SélectionTechFlow Sélection

Pourquoi les projets ayant subi un audit sont-ils toujours victimes d'attaques de hackers ?
Bien que de plus en plus de projets soient audités, les attaques de pirates et les escroqueries de type « rug pull » continuent de se produire régulièrement.
Rédaction : Stacy Muur
Traduction : TechFlow
La sécurité reste un sujet central dans l'industrie. Bien qu’un nombre croissant de projets soient audités, les piratages et escroqueries de type « rug pull » continuent d’avoir lieu, suscitant ainsi des doutes quant à la capacité des audits à garantir réellement la sécurité des contrats intelligents.
Dans cet article, la chercheuse Stacy Muur explore le rôle des audits dans l’univers de la cryptographie, analyse plusieurs cas de piratage ayant eu lieu malgré un audit préalable, et évalue le taux de réussite des sociétés d’audit afin d’offrir une compréhension plus approfondie de la sécurité des actifs numériques.
L’échange décentralisé Merlin basé sur zkSync a récemment été victime d’une attaque ayant entraîné une perte supérieure à 1,1 million de dollars. Ce protocole avait pourtant été certifié par CertiK, société qui supervise près de 70 % de tous les audits du secteur. Cette situation soulève alors une question cruciale : Pouvons-nous faire confiance aux audits ?
Examinons donc quelques cas concrets de protocoles ayant subi des attaques malgré avoir été audités, afin de mieux évaluer si la sécurité est véritablement assurée.

CertiK réalise environ 70 % de tous les audits dans l’écosystème Web3. Leur nom apparaît dans 33 des incidents négatifs recensés dans la base de données REKT (qui contient plus de 3 000 rapports de piratages).
En outre, ils ont également audité l’exchange DEX Merlin, qui n’a pas encore été ajouté à cette base de données, ce qui en fait officieusement la 34e entreprise sur leur liste d’échecs.

Dans ce classement inversé des événements critiques, PeckShield Inc. arrive en deuxième position avec 18 cas d’attaques ou d’escroqueries signalés.

Troisième au classement : DeFi Safety, avec 12 cas de piratages recensés. Notons toutefois qu’aucun projet audité par eux depuis 2021 n’a été victime d’une attaque.

Par ailleurs, j’ai tenté d’établir un classement des meilleures entreprises de sécurité selon le ratio audits / incidents de piratage. Pour construire ce classement, j’ai utilisé les notations de Coingecko sur les meilleurs cabinets d’audit ainsi que la base de données REKT mentionnée précédemment.
Voici le résultat :

*Note : Ce tableau est une compilation personnelle de l’auteure. Il n’existe actuellement aucun classement officiel reconnu dans l’industrie.
Il convient de souligner que chaque incident doit être évalué au cas par cas, et que ce tableau ne devrait pas être considéré comme une source fiable sur le taux de réussite des sociétés d’audit, car il reste trop général.
Voici en résumé ma conclusion après cette étude : Un audit ne garantit pas la sécurité.
Durant ma carrière dans les cryptomonnaies, j’ai travaillé pour une dizaine d’entreprises ayant toutes effectué des audits de sécurité. Dans la plupart des cas, ce sont les développeurs internes qui ont identifié les vulnérabilités critiques.
Généralement, les audits s’appuient sur des scripts génériques permettant de repérer des failles potentielles. Or, chaque entreprise possède un code et une architecture uniques, nécessitant une analyse personnalisée. Est-il vraiment possible de mener une revue approfondie en seulement un mois ? Honnêtement, j’en doute.
En règle générale, un audit augmente la probabilité que les fonds stockés dans un contrat soient sécurisés. Les projets non audités sont indéniablement plus exposés aux piratages et aux escroqueries. Toutefois, gardez à l’esprit qu’aucune sécurité à 100 % ne peut jamais être garantie.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














