
Revue des moments forts du Web3 Developer Camp 2023 d'AWS
TechFlow SélectionTechFlow Sélection

Revue des moments forts du Web3 Developer Camp 2023 d'AWS
Les experts et invités ayant participé à ce séminaire sur la sécurité proviennent de plusieurs institutions de premier plan du secteur, notamment : Beosin, Conflux, Hashkey Exchange, OKX Wallet, Polkadot, Scroll, SlowMist, SNZ Capital et Taiko.
Rédaction : CrossSpace
Le 7 décembre, le Web3 Developer Camp, organisé par Amazon Web Services (AWS) et soutenu exclusivement par la communauté CrossSpace, s'est déroulé avec succès dans les locaux d'AWS à Causeway Bay. Cet événement, qui constitue la session en présentiel de la série de séminaires « Sécurité Web3 », a réuni sur place des experts et cadres dirigeants provenant de domaines clés tels que la sécurité Web3, les portefeuilles, les blockchains L1/L2, les services cloud, les exchanges et les fonds d'investissement, offrant ainsi une conférence riche en contenus approfondis et très interactive.
En tant que leader mondial du marché des services cloud, AWS suit de près et explore activement les bonnes pratiques en matière de sécurité dans l’industrie Web3. En lançant cette série d'événements dédiés à la sécurité, AWS espère renforcer la sensibilisation des professionnels du secteur, favoriser un écosystème Web3 durable et jeter les bases d’un développement sain pour chaque segment en 2024. Les experts et intervenants présents lors de ce séminaire proviennent de plusieurs institutions de premier plan, notamment (par ordre alphabétique) : Beosin, Conflux, Hashkey Exchange, OKX Wallet, Polkadot, Scroll, SlowMist, SNZ Capital et Taiko.
Commençons par revenir sur les discussions animées de la table ronde organisée dans le cadre de cet événement. Cette session a réuni des cadres et experts de Taiko, Hashkey Exchange, Beosin et SNZ Capital, acteurs influents dans l’écosystème Web3, pour échanger sur leurs démarches concrètes en matière de sécurité. Nous avons également eu le privilège d’entendre Conflux et Scroll, deux blockchains L1/L2 récemment populaires, partager pour la première fois hors ligne leur feuille de route technologique et écologique pour 2024.

De gauche à droite : Leon (animateur), co-fondateur et PDG de CrossSpace ; Michael, chargé d’investissement chez SNZ Capital ; Terence, co-fondateur et directeur stratégique de Taiko ; Ming Wu, directeur technique de Conflux ; Marcus Liu, responsable croissance Asie-Pacifique chez Scroll ; Vincent Wong, directeur produit de Hashkey Exchange ; Eaton, chercheur en sécurité chez Beosin.
Table ronde : À quels aspects de sécurité les projets Web3 doivent-ils prêter attention ?
Les projets Web3 ont tendance à se concentrer aveuglément sur l’expansion du marché au détriment de la sécurité fondamentale. Plusieurs vols massifs de fonds sur blockchain cette année ont sonné l’alerte pour tout le secteur. Eaton, chercheur en sécurité chez Beosin, acteur majeur dans ce domaine, a donné les recommandations suivantes aux équipes de projet : « Dès le lancement, les équipes doivent apprendre à utiliser l’intelligence artificielle et des outils d’audit automatisés afin d’accélérer la vérification des contrats intelligents, détecter rapidement les vulnérabilités et gagner du temps sur les audits traditionnels, tout en traitant des logiques métier complexes. Pendant le développement, il est crucial de garantir la justesse de la logique commerciale, d’insister sur les tests rigoureux et d’adopter une méthode de développement pilotée par les tests. Par ailleurs, il faut être prudent lors de l’intégration d’applications tierces, car elles peuvent introduire des failles de sécurité inconnues. Une fois le projet terminé, nous recommandons vivement de faire appel à une équipe d’audit spécialisée pour identifier et corriger les vulnérabilités potentielles, assurant ainsi la sécurité globale du projet. »
SNZ Capital dispose d’une solide expérience dans l’investissement dans des infrastructures et applications Web3. Michael, chargé d’investissement, a souligné l’importance accordée par SNZ à la sécurité de ses sociétés investies : « La sécurité est primordiale pour SNZ, elle fait partie intégrante de notre stratégie d’investissement. C’est pourquoi nous collaborons avec des entreprises de cybersécurité afin d’offrir à nos startups un accompagnement complet. Outre la gestion de la sécurité dans les infrastructures et les middlewares, nous proposons aussi un soutien post-développement, en facilitant l’accès à des prestataires de sécurité que nous connaissons bien. Nous exigeons de nos sociétés investies qu’elles placent la sécurité au cœur de leur stratégie commerciale, comprennent pleinement l’importance des audits, notamment la détection en temps réel des fraudes, la surveillance des vulnérabilités et l’évaluation de compatibilité, afin d’assurer une conception sécurisée dès l’origine. »
Table ronde : Comment les projets Web3 expérimentés mettent-ils en œuvre la sécurité ?
Taiko, un rollup ZK open source en forte croissance dans l’écosystème Ethereum, garantit sa sécurité grâce à une architecture entièrement décentralisée et à la participation multiple de validateurs. Terence, co-fondateur et directeur stratégique de Taiko, a expliqué lors de la table ronde : « Taiko est un réseau Layer 2 compatible avec Ethereum, doté d’une architecture totalement décentralisée. Ses atouts incluent l’open source, la construction communautaire et la sécurité, visant à assurer qualité et sûreté du code grâce à la contribution mondiale des développeurs. Actuellement en phase testnet, Taiko compte déjà plus de 10 000 nœuds de proposition et de validation, un nombre appelé à croître. Cela signifie que les utilisateurs n’ont pas besoin de faire confiance à Taiko — nous n’avons aucun séquenceur centralisé, ce qui nous distingue clairement des autres solutions Layer 2. »
Hashkey, en tant qu’exchange autorisé à Hong Kong traitant directement avec des investisseurs, étend régulièrement sa gamme de produits. Assurer la confiance des clients est donc une priorité absolue. « Hashkey Exchange s’engage à respecter strictement les politiques de custody imposées par la Commission des valeurs mobilières de Hong Kong (SFC). 98 % des actifs sont conservés en cold wallets, tandis que seulement 2 % sont en hot wallets, garantissant ainsi un niveau élevé de sécurité. Pour renforcer encore davantage la protection des investisseurs, nous avons noué des partenariats avec des assureurs comme AON et OneDegree, offrant une couverture supplémentaire », a ajouté Vincent Wong, directeur produit de Hashkey Exchange. Il a poursuivi : « Notre processus commence par une vérification KYC rigoureuse, afin d’assurer que tous nos clients soient légitimes et authentiques. Nous proposons aussi des rappels de mot de passe et imposons des changements réguliers pour renforcer la sécurité des comptes. Enfin, nous fournissons aux utilisateurs des supports pédagogiques pour les encourager à mieux comprendre la blockchain et ses mécanismes. Grâce à ces mesures, nous souhaitons instaurer une relation de confiance durable avec nos clients, leur permettant de trader en toute sécurité sur notre plateforme. »
Table ronde : Développement technologique et soutien écologique des principales blockchains Layer 1 et Layer 2
Conflux, représentant emblématique d'une blockchain de niveau 1, a récemment publié sa feuille de route 2024 destinée aux développeurs. Ming Wu, directeur technique, a partagé plusieurs axes d’amélioration centrés sur l’expérience développeur : recherche active de solutions de disponibilité des données (Data Availability) programmables, permettant aux contrats intelligents d’interagir avec une couche DA indépendante pour un stockage et une récupération efficaces à grande échelle ; intégration d’une plateforme d’intelligence artificielle positionnée comme couche incitative ; exploration d’architectures hétérogènes de machines virtuelles pour améliorer l’évolutivité et élargir l’écosystème ; et étude de l’intégration du calcul multipartite (MPC) afin de renforcer la confidentialité et la résistance au MEV. Ming Wu a conclu : « Nous espérons que, dans les prochaines années, l’amélioration des performances du système permettra de répondre à davantage de cas d’usage, rendant notre technologie plus mature et opérationnelle. »
Scroll, une autre blockchain Layer 2 récemment lancée en mainnet, a également partagé ses bonnes pratiques en matière de sécurité écologique. Marcus Liu, responsable croissance Asie-Pacifique, a déclaré : « Sur le plan de la sécurité, la principale force de Scroll repose sur ses preuves ZK (ZKP), dont les principes mathématiques garantissent que les résultats d’exécution de ZKEVM sont fiables et sécurisés, puis sont envoyés sur Ethereum pour vérification. Outre des audits rigoureux sur tous les contrats et circuits, nous avons lancé un programme de Bug Bounty, invitant la communauté à participer activement, selon l’esprit open source, au renforcement de la sécurité. À l’avenir, la décentralisation du Prover et du Séquenceur, prévue dans notre feuille de route, contribuera encore davantage à la décentralisation et à la sécurité globale de Scroll. »
Outre la table ronde, la journée a également mis en lumière la formation AWS sur « le hacking éthique Web3 et les meilleures pratiques de sécurité », ainsi que des interventions riches en contenu de SlowMist, Polkadot (nouvelle génération de blockchain) et OKX Wallet (application Web3). Passons maintenant en revue les connaissances et retours d’expérience concrets concernant les risques de sécurité, les stratégies utiles, la sécurité applicative et celle du développement écologique.
Les vulnérabilités des contrats intelligents restent parmi les trois principales causes d’attaques en 2023
En 2023, les vulnérabilités des contrats intelligents continuent de figurer parmi les types d’attaques les plus fréquents. Selon le rapport de sécurité trimestriel publié par Beosin, l’exploitation de vulnérabilités contractuelles arrive en troisième position, après la fuite de clés privées et les attaques de base de données. « 22 incidents liés à des failles contractuelles ont entraîné environ 93,27 millions de dollars de pertes. Parmi celles-ci, les failles de réentrance sont responsables de 82,8 % des pertes totales. »
David Sung et Gong Tao, architectes solutions Web3 chez AWS, ont présenté trois types courants d’attaques sur contrats intelligents, dont les attaques par réentrance. Dans ce type d’attaque, l’attaquant exploite une faille du contrat pour invoquer répétitivement une même fonction avant la fin de la transaction initiale, provoquant ainsi des transferts multiples ou une consommation anormale de fonds. Ce phénomène résulte souvent d’un défaut de conception ou d’un manque de mesures défensives adéquates. Étant donné que les attaques par réentrance menacent gravement la sécurité et la stabilité des contrats intelligents, leur prévention doit être une priorité absolue lors du développement.
Les deux autres formes d’attaques fréquentes sont les attaques par délégation d’appel (delegatecall) et les débordements/errements d’entiers. L’opcode DELEGATECALL, fourni par la machine virtuelle Ethereum (EVM), permet de réutiliser du code en insérant le bytecode du contrat cible dans celui de l’appelant. Un contrat malveillant peut alors modifier directement les variables d’état du contrat appelant. Quant aux débordements et errements d’entiers, ils surviennent lorsque le résultat d’un calcul arithmétique dépasse la plage autorisée par le type de données Solidity, permettant ainsi des modifications non autorisées des variables d’état.
Pour en savoir plus sur la prévention des cyberattaques, consultez le cours pratique AWS « Hacking éthique Web3 et meilleures pratiques de sécurité », disponible sur cette page.
Stratégies de sécurité pour les projets Web3 : avant, pendant et après le lancement
Les projets Web3 doivent anticiper les risques de sécurité dès leur lancement, car les incidents surviennent souvent au niveau des contrats intelligents, des portefeuilles ou des exchanges. Tony, responsable de la communauté SlowMist à Hong Kong, a indiqué : « Face aux incidents de sécurité blockchain, SlowMist propose des solutions structurées en trois phases : avant, pendant et après l’incident. » Les équipes projet peuvent ainsi évaluer les risques potentiels en fonction de leur stade de développement.
Avant tout incident, les projets peuvent effectuer des tests complets pour identifier les vulnérabilités. À ce stade, les tests d’équipe rouge (Red Teaming) de SlowMist permettent d’évaluer les points faibles réels — y compris le personnel, les systèmes informatiques, la chaîne d’approvisionnement, les systèmes de bureau et la sécurité physique — afin de proposer des solutions défensives personnalisées, protégeant en priorité les nœuds critiques et augmentant le coût d’attaque.
Pendant un incident, les projets doivent renforcer la surveillance en temps réel (on-chain et off-chain) et coopérer avec des experts en sécurité pour détecter et contrer rapidement les menaces. Après un incident, des actions immédiates de défense doivent être prises, telles que recourir aux services de réponse d’urgence de SlowMist ou aux investigations traçant les activités on-chain et off-chain, afin de contenir l’attaque et d’en identifier la cause racine.
Étant donné que de nombreuses équipes Web3 doivent intégrer la sécurité dès la conception du code, et ne pas uniquement dépendre des conseils ponctuels des entreprises de sécurité, SlowMist a publié sur GitHub un guide open source intitulé Exigences de bonnes pratiques de sécurité pour projets Web3, listant en détail les risques à surveiller en environnement de développement. Ce document encourage fortement les équipes à construire et améliorer leur propre système de sécurité, leur permettant d’acquérir une autonomie certaine même après audit.

SlowMist appelle les projets à renforcer leur sécurité de manière holistique
Adopter activement les technologies de pointe pour construire des applications Web3 sécurisées
Avec la maturation des technologies blockchain sous-jacentes, de plus en plus d’applications frontales Web3 voient le jour. OKX Wallet s’impose comme un produit offrant une excellente expérience utilisateur. En tant qu’application frontale interagissant directement avec les utilisateurs, comment garantir à la fois la sécurité des fonds et des données tout en optimisant l’expérience ? Darrel Wang, chef de produit chez OKX Wallet, a partagé les secrets de leur réussite : renforcement de la sécurité au niveau système, capacité de sécurité full stack, et adoption proactive des dernières innovations technologiques. Voici les détails :
Premièrement, OKX Wallet a renforcé sa sécurité au niveau système, garantissant que les composants liés aux actifs bénéficient d’une sécurité comparable à celle des institutions financières. En durcissant la sécurité de l’application, l’équipe vise à empêcher toute intrusion malveillante et à offrir aux utilisateurs un environnement de trading sûr.
Deuxièmement, OKX Wallet accorde une grande importance à la sécurité full stack. De la fourniture de nœuds et des explorateurs de blocs jusqu’au terminal utilisateur, la maîtrise complète de la chaîne de valeur garantit conformité et performance élevée en matière de sécurité. Par exemple, la fonction d’alerte proactive contre les risques permet de prévenir efficacement les tentatives de phishing, renforçant ainsi la protection des actifs.
Troisièmement, OKX Wallet mise sur l’innovation et adopte activement les technologies de pointe. Cette année, ils ont lancé un compte de contrat intelligent basé sur le protocole d’abstraction de compte (EIP-4337), dont la fonctionnalité de récupération améliore considérablement la gestion de sécurité du portefeuille. Leur portefeuille MPC sans clé privée, quant à lui, utilise la computation multipartite sécurisée (MPC) pour réduire les risques liés aux clés uniques, éliminant la crainte de perte de clé privée.
OKX Wallet se définit comme une entreprise technologique, non financière. Son objectif est de résoudre les problèmes depuis les principes fondamentaux du produit et la perspective technique, afin d’offrir aux utilisateurs une expérience numérique à la fois sécurisée et pratique.

OKX Wallet a lancé son portefeuille MPC sans clé privée en avril 2023
Le framework Substrate aide les développeurs à créer des blockchains plus sécurisées
De nombreux développeurs connaissent Substrate, un framework open source, modulaire et extensible pour construire des blockchains. La chaîne de relais (Relay Chain) de Polkadot repose précisément sur Substrate. Alors, comment Substrate assure-t-il la sécurité pour les développeurs de l’écosystème ? Jimmy, développeur principal de Polkadot, a expliqué que grâce à Substrate, les développeurs peuvent intégrer des modules prédéfinis (appelés Pallets) fournis par des ingénieurs experts de Parity. Ces modules permettent des mises à jour à chaud sans hard fork, offrent plusieurs mécanismes de consensus, et favorisent l’interopérabilité et la sécurité entre différentes blockchains.
Jimmy a ajouté que l’objectif central de Polkadot est d’assurer l’interopérabilité inter-chaînes et l’évolutivité. Polkadot relie différentes blockchains, leur permettant de communiquer et de travailler ensemble. Cette architecture permet l’échange de données et de valeur entre blockchains, augmentant ainsi l’efficacité et l’évolutivité globales du réseau. Elle comprend une chaîne de relais (garantissant sécurité et validation) et des parachains (offrant des fonctionnalités spécifiques). En outre, Polkadot équilibre soigneusement évolutivité, sécurité et décentralisation, grâce à une architecture unique et à des technologies de pont sécurisées pour transférer efficacement les actifs.

Les composants centraux de Polkadot, la chaîne de relais assure la sécurité
Les projets Web3 doivent tirer parti des infrastructures cloud, en tenant compte de la variété des services, de la sécurité et de la flexibilité
Les services cloud constituent une infrastructure essentielle pour Web3 : indispensables aux exchanges, aux blockchains et aux applications frontales. Pour les projets Web3, la diversité des services, la sécurité et la flexibilité des plateformes cloud sont particulièrement cruciales. AWS, fournisseur cloud incontournable dans l’univers Web3, a répondu à ces trois dimensions via David, son architecte solutions.
Sur le plan des services, AWS est la plateforme cloud la plus utilisée au monde, offrant plus de 200 services complets, soutenus par un réseau mondial de centres de données capables de répondre aux besoins spécifiques de toute entreprise Web3. Parmi les sept services AWS les plus utilisés par la communauté Web3 figurent : EC2 (Nitro Enclaves), KMS/CloudHSM, API Gateway, S3, Elastic Block Store, Shield Advanced et WAF.
En matière de sécurité, AWS s’engage à fournir des services sécurisés, conformes et bien gouvernés. Grâce au système AWS Nitro, la sécurité est intégrée au niveau matériel, avec surveillance continue, protection et vérification du matériel des instances, réduisant ainsi la surface d’attaque. AWS prend également en charge plus de normes et certifications de sécurité que tout autre fournisseur cloud. En particulier, la combinaison de Nitro Enclaves et de KMS/CloudHSM offre aux BUIDLers Web3 la meilleure solution de gestion sécurisée des clés privées dans le cloud, largement adoptée dans l’industrie. Shield Advanced et WAF protègent quant à eux les dApps, les nœuds et diverses couches d’infrastructure Web3.
En termes de flexibilité, AWS propose non seulement une large gamme de services, mais aussi diverses options tarifaires pour aider les projets à optimiser leurs coûts. David a ajouté : « Nous offrons un large choix de services d’analyse et de machine learning, capables de répondre à presque tous les besoins en analyse de données — mouvement de données, stockage, analyse big data, logs, flux, intelligence d’affaires et ML. En outre, nous permettons aux utilisateurs de choisir librement les services adaptés à leurs besoins pour réduire les coûts. »
AWS propose une grande variété de services pour les projets Web3
Si vous souhaitez en savoir plus sur la création d'applications sécurisées sur AWS et le soutien apporté par AWS à l’écosystème Web3, cliquez ici.
Voici les points clés de cet événement. Nous espérons que ces retours inspireront les BUIDLers et développeurs Web3. Nous sommes convaincus qu’avec un consensus croissant autour de la sécurité, l’écosystème Web3 entrera bientôt dans une nouvelle phase de croissance rapide. CrossSpace continuera de collaborer avec AWS, des entreprises de sécurité de haut niveau et d’autres acteurs clés de l’écosystème Web3 pour organiser davantage d’événements d’échanges.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














