
Aperçu du rapport Hack3d sur la sécurité du Web3.0 en 2023
TechFlow SélectionTechFlow Sélection

Aperçu du rapport Hack3d sur la sécurité du Web3.0 en 2023
Le rapport révèle de manière exhaustive les dernières tendances en matière de sécurité Web3.0, à travers une statistique et une analyse des incidents de sécurité survenus au cours de l'année écoulée.
Rédaction : CertiK
Le rapport complet est disponible ici : « Hack3d : Rapport annuel sur la sécurité du Web3.0 en 2023 »
En ce début d'année, CertiK publie comme promis son étude majeure annuelle : le « Hack3d : Rapport annuel sur la sécurité du Web3.0 en 2023 ». Ce rapport très attendu par le secteur analyse et synthétise les incidents de sécurité qui ont marqué l'année écoulée dans l'écosystème Web3.0, révélant de manière complète les dernières tendances en matière de sécurité.
Considéré comme le rapport de sécurité le plus détaillé et le plus fiable du secteur, le « Hack3d : Rapport annuel sur la sécurité du Web3.0 en 2023 » recense et analyse exhaustivement toutes les cyberattaques, fraudes et exploitations de vulnérabilités survenues au sein de l'écosystème Web3.0 durant l'année 2023. Il constitue une référence indispensable pour les développeurs, professionnels, régulateurs, utilisateurs et passionnés souhaitant comprendre l'état actuel, les défis et les opportunités liés à la sécurité du Web3.0.
Avant d’entrer dans le détail du rapport complet, jetons un regard rapide sur la situation générale de la sécurité dans le secteur Web3.0 en 2023 :
Aperçu annuel — Une baisse de plus de 50 % des pertes dues aux incidents de sécurité
En 2023, 751 incidents de sécurité ont été recensés, entraînant une perte totale d’actifs s’élevant à 1,84 milliard de dollars américains, soit une diminution de 51 % par rapport aux 3,7 milliards de dollars perdus en 2022. D’après l’analyse statistique réalisée par CertiK, cette baisse résulte de plusieurs facteurs : l’évolution des protocoles de contrats intelligents, les changements dans le comportement des utilisateurs, ainsi que le renforcement et l’amélioration de l’efficacité des mesures de sécurité. En outre, les grandes tendances macroéconomiques du secteur ont également eu un impact sur le nombre d’incidents et les pertes associées.
Analyse des données
En classant les incidents selon leur date, leur nature et leur écosystème, CertiK a identifié plusieurs observations notables :
1. Le troisième trimestre concentre les pertes les plus élevées, novembre étant le mois le plus touché. Le troisième trimestre 2023 a enregistré le volume de pertes le plus important de l’année, avec 183 incidents de sécurité ayant causé 686 millions de dollars de pertes. En novembre, 45 incidents ont provoqué une perte de 364 millions de dollars.

Nombre mensuel d'incidents de sécurité et montant des pertes (en dollars) en 2023
2. Les fuites de clés privées sont responsables des pertes les plus importantes. Bien que représentant seulement 6,3 % du total des incidents, elles ont entraîné une perte de 881 millions de dollars, soit près de la moitié des pertes annuelles.

Nombre d'incidents de sécurité par catégorie et montant des pertes (en dollars) en 2023
3. Ethereum affiche la perte cumulée la plus élevée. En 2023, 224 incidents de sécurité ont touché Ethereum, entraînant une perte totale de 686 millions de dollars, soit une perte moyenne de 3 millions de dollars par incident. Bien qu’Ethereum n’ait pas connu le plus grand nombre d’incidents parmi tous les écosystèmes, il présente la perte totale la plus importante en 2023.
4. Les incidents de sécurité inter-chaînes restent très coûteux. En 2023, seuls 35 incidents de sécurité inter-chaînes ont causé une perte de 799 millions de dollars, montrant que les vulnérabilités liées à l’interopérabilité demeurent un point critique pour la sécurité du secteur.
Tendances sectorielles
Par ailleurs, à travers l’analyse comparative d’une série d’incidents majeurs, CertiK a mis en lumière plusieurs dynamiques nouvelles particulièrement observées dans le secteur :
1. Hausse des remboursements via « primes de vulnérabilité rétrospectives », mais mieux vaut prévenir que guérir
En 2023, 34 incidents ont permis de récupérer 219 millions de dollars grâce à des négociations de « primes de vulnérabilité rétrospectives » avec les attaquants, soit 12 % des pertes totales de 1,84 milliard de dollars. Par rapport aux années précédentes, le montant récupéré a augmenté de 54 %. CertiK considère que bien que cette stratégie puisse aider certains projets à limiter leurs pertes, les projets Web3.0 ne peuvent pas compter sur des négociations avec les hackers pour assurer la sécurité de leurs actifs. Il est donc crucial de mettre en place des plateformes de primes incitatives permettant aux experts en sécurité (« chapeaux blancs ») de signaler les vulnérabilités avant qu'une attaque ne survienne.
Pour découvrir les différentes approches adoptées par les projets concernant les négociations de « primes de vulnérabilité rétrospectives », consultez l’analyse détaillée dans le rapport des solutions post-incident appliquées aux cas Euler Finance et KyberSwap.
2. Risques du Web2.0 qui contaminent le Web3.0 — Un défi durable et persistant
Le 14 décembre, Ledger, géant du portefeuille matériel Web3.0, a subi une grave crise de sécurité. Un ancien employé de Ledger est tombé victime d’une attaque de phishing. Les attaquants ont pris le contrôle de son compte NPMJS via GitHub, y ont injecté du code malveillant, obtenu un accès à Ledger Connect Kit, puis redirigé les utilisateurs vers un site web malveillant. Ledger a rapidement déployé une mise à jour dans les 40 minutes suivant la découverte de la faille, limitant ainsi les menaces potentielles. Cet incident a causé environ 610 000 dollars de pertes directes. Bien que ce montant ne soit pas énorme, l’impact sur la réputation de Ledger a été considérable.
Cet événement illustre, tout comme le cas de la collaboration entre CertiK et WalletConnect pour corriger une vulnérabilité XSS, que même si l’écosystème Web3.0 repose sur des principes de décentralisation, les applications actuelles utilisent encore massivement des composants hérités du Web2.0 — tels que les systèmes de comptes, les codes QR ou les dépôts de code — et héritent donc des risques de centralisation associés. Si un compte d’employé est compromis par phishing, cela peut entraîner des pertes massives pour les utilisateurs Web3.0. Les spécialistes de la sécurité Web3.0, dont CertiK, doivent donc trouver un équilibre durable entre les idéaux de décentralisation et les réalités pratiques du développement et de la maintenance logicielle — un défi à long terme.
3. Vers une régulation du secteur de plus en plus mature
En 2023, CertiK observe avec satisfaction que, parallèlement à la maturation de la réglementation du Web3.0, de nombreuses institutions intensifient leur exploration de la technologie blockchain intégrée à leurs activités traditionnelles. Les efforts de Swift en faveur de l’interopérabilité, les initiatives de plusieurs banques mondiales dans la tokenisation d’actifs, ainsi que les explorations menées par des géants de la finance numérique comme PayPal dans le domaine des stablecoins, témoignent d’un renforcement croissant de la reconnaissance du consensus autour de la technologie blockchain et de l’écosystème Web3.0.
Sur le plan réglementaire, de nombreuses juridictions, notamment Hong Kong (Chine), Singapour, le Japon, les États-Unis, l’Union européenne et le Royaume-Uni, ont publié des cadres ou des lignes directrices encadrant les stablecoins. L’équipe de CertiK a récemment participé, en tant qu’expert-conseil, à l’élaboration du cadre réglementaire des stablecoins de l’Autorité monétaire de Singapour (MAS), dont les recommandations ont été reconnues et validées. CertiK a récemment lancé un service d’audit de sécurité et de conseil en conformité pour les stablecoins, et continuera d’encourager activement la sécurité dans ce domaine et l’adoption à grande échelle du Web3.0 en participant à diverses consultations auprès des autorités réglementaires.
L'année 2023 de CertiK
Grâce aux efforts collectifs de tout le secteur, la sécurité du Web3.0 a progressé sur de nombreux fronts en 2023. CertiK est fier de continuer à contribuer à ce domaine et de s’engager pour l’avenir du Web3.0. Retraçons ensemble les moments forts de CertiK en 2023 :
-
En août 2023, découverte d’une vulnérabilité de sécurité dans le système Worldcoin.
-
En novembre 2023, certification des performances transactionnelles par seconde (TPS) du réseau TON.
-
En décembre 2023, publication d’un guide de sécurité pour l’écosystème Cosmos.
-
En décembre 2023, découverte d’une vulnérabilité XSS dans l’API WalletConnect Verify.
-
En décembre 2023, découverte de vulnérabilités dans les applications mobiles Wormhole et OKX.
Ce ne sont là que quelques exemples parmi les nombreux efforts consentis par CertiK en 2023 pour protéger l’écosystème Web3.0. Chaque audit de code, chaque traçage nocturne après un incident, chaque analyse publiée reflète l’engagement et l’espoir de CertiK pour un monde Web3.0 plus sûr.
Nous remercions sincèrement tous les acteurs du Web3.0, experts en sécurité et utilisateurs, pour leur soutien constant. Nous sommes convaincus que les enseignements et apprentissages de 2023 deviendront les fondations les plus précieuses pour construire un Web3.0 sécurisé.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News











