Dialogue avec ScaleBit : Anecdotes amusantes sur l'audit de sécurité Web3
TechFlow SélectionTechFlow Sélection
Dialogue avec ScaleBit : Anecdotes amusantes sur l'audit de sécurité Web3
Les questions de sécurité Web3 et d'audit de code sont peut-être plus intéressantes que vous ne le pensez.
Dédié à des analyses Web3 approfondiesIntervieweurs : Faust, Wuyue, Geeker Web3
Intervenant : Luis, ScaleBit
Édition : Faust, Jomosis
Le 1er juillet, Geeker Web3 a invité Luis, cofondateur de l'entreprise d'audit de sécurité Web3 ScaleBit, afin de répondre à de nombreuses questions sur l'audit de code et la sécurité Web3. Lors de cet entretien, les deux parties ont discuté des audits de code, de la sécurité Web3, ainsi que de sujets comme le ZK, l'IA ou encore l'écosystème Bitcoin, selon des angles commerciaux et techniques. Les points abordés incluent :
-
Pourquoi ScaleBit a initialement choisi de se concentrer sur la sécurité Web3 et s’est implanté dans l’écosystème MOVE ;
-
La logique commerciale du secteur de l’audit de code et la segmentation des clients ;
-
Les différences et liens entre la sécurité Web2 et Web3 ;
-
Où réside la complexité de l’audit des circuits ZK, et quels efforts Scalebit a-t-il déployés à ce sujet ;
-
Une comparaison, d’un point de vue opérationnel et technique, de l’écosystème Bitcoin et de ses couches 2 ;
-
L’impact et l’aide apportée par les outils d’IA tels que ChatGPT sur le secteur de l’audit de code.
Cet article est une transcription éditée de cet entretien, d’environ 7 000 mots. Au cours de cette discussion, Luis partage en détail son expérience personnelle et fournit un panorama assez complet de l’industrie de la sécurité Web3. Pour ceux qui ne connaissent pas bien la sécurité Web3 ni le domaine de l’audit de code, cet article constitue une excellente opportunité pour comprendre le fonctionnement des sociétés d’audit — fortement recommandé à lire, sauvegarder et partager.
1. Faust : Ma première question porte sur le choix stratégique initial. Pourquoi ScaleBit a-t-il choisi la sécurité Web3 au moment de sa création ?
Luis : Notre décision de nous orienter vers la sécurité Web3 repose principalement sur plusieurs raisons :
Premièrement, beaucoup de membres de notre équipe sont venus de la Silicon Valley et sont entrés tôt dans l’univers blockchain. Nous cherchions surtout une demande utilisateur durable et stable, et l’audit de code représente justement un domaine fondamental, susceptible de perdurer à long terme. C’est pourquoi nous avons fait ce choix, avec pour objectif de devenir une entreprise de sécurité respectée dans l’industrie.
Deuxièmement, nous pensons que la sécurité Web3 en est encore à un stade très précoce, mais que les problèmes de sécurité y sont bien plus critiques que dans Internet traditionnel, car ils sont directement liés à des actifs financiers. La sécurité Web3 a donc une valeur nettement supérieure à celle de la sécurité Web2 classique.
Même si certains pensent aujourd’hui que le marché de l’audit de contrats est limité, la sécurité Web3 englobe bien plus que cela : de nouveaux services émergent constamment, de nouvelles demandes apparaissent continuellement. Ainsi, nous considérons que ce domaine reste très prometteur.
Troisièmement, le profil de notre équipe présente de fortes synergies avec l’audit de code et la sécurité blockchain. Nous avons une solide expérience dans le secteur de la sécurité : j’ai été membre fondateur d’une autre entreprise de sécurité blockchain, notre scientifique en chef, le professeur Chen Ting, mène depuis longtemps des recherches sur la sécurité blockchain, et d'autres membres possèdent des compétences en sécurité d’échange, vérification formelle ou analyse statique.
Pour toutes ces raisons, nous avons finalement opté pour la voie de la sécurité Web3.
2. Faust : On m’a dit que ScaleBit s’appelait initialement MoveBit avant de changer de nom lors d’une refonte de marque. Pouvez-vous expliquer pourquoi vous avez d’abord choisi l’écosystème Move, puis pourquoi vous avez changé de nom ?
Luis : En effet, il s’agit d’une mise à niveau de marque. Notre marque mère est BitsLab — nous utilisons trois marques filles : MoveBit, ScaleBit et TonBit. C’est une stratégie multi-marques. Nous nous sommes étendus au-delà de l’écosystème Move vers d’autres écosystèmes, avec comme positionnement global la sécurité et les infrastructures dans les nouveaux écosystèmes émergents.
Concernant notre choix initial de l’écosystème Move, voici une petite anecdote : vers 2022, alors que nous commencions à nous lancer dans l’audit de sécurité, nous avons passé trois mois à étudier quel domaine spécialisé serait le plus pertinent. À l’époque, nous avions estimé qu’il serait difficile de rivaliser avec les concurrents existants en créant une entreprise généraliste de sécurité, et qu’il valait mieux cibler un créneau spécifique.
Nous avons envisagé plusieurs options : Move, puis ZK, ou encore créer une marque spécialisée dans un domaine vertical comme GameFi. Notre stratégie était claire : une percée ciblée. Après avoir pesé divers facteurs, nous avons opté pour l’écosystème Move.
À cette époque, nous n’étions qu’une équipe de sept à huit personnes, mais nous avons obtenu un grand succès dans l’écosystème Move. Environ 80 à 90 % des projets phares de cet écosystème (classés par TVL) ont été audités par nous. Nous avons également audité des composants essentiels de la chaîne comme MoveVM et Aptos Framework, découvrant plusieurs vulnérabilités critiques au passage. Nous occupons donc une part de marché très élevée dans le domaine Move.
Nous continuons aujourd’hui à réaliser des audits de code dans l’écosystème Move, qui représentent environ 50 % de nos revenus et 40 % de notre charge de travail. Comme la plupart des clients Move sont internationaux, les tarifs sont plus élevés.
Actuellement, TonBit se concentre sur l’audit dans l’écosystème Ton, tandis que ScaleBit couvre les écosystèmes BTC Layer2, ZK et d’autres nouveaux écosystèmes. Globalement, BitsLab vise les écosystèmes émergents ayant un potentiel d’adoption massive.
3. Faust : Je voudrais maintenant poser une question sur ZK. L’audit lié au ZK est particulièrement complexe. Vitalik a déjà mentionné que les circuits de systèmes comme zkEVM sont tellement compliqués que même avec des tests fonctionnels ou des audits, on ne peut pas garantir l’absence de failles. Pouvez-vous partager votre expérience à ce sujet ?
Luis : L’audit ZK couvre plusieurs aspects : audit de circuits, audit de langages sources et audit de calculs généraux. Je vais d’abord parler de l’audit de circuits.
Un des principaux défis de l’audit de circuits réside dans la faible lisibilité du code circuit par rapport aux langages de programmation traditionnels. De plus, l’écosystème des langages de circuits est fragmenté : il existe actuellement une dizaine de langages et frameworks différents, notamment Circom, Halo2, Artwork, Bellman, etc., ce qui signifie qu’il n’existe aucun standard unique pour l’écriture de circuits.
Évidemment, pour toute entreprise de sécurité, maîtriser simultanément tous ces langages de circuits est quasi impossible. C’est pourquoi nous avons choisi une entrée sélective dans le domaine ZK. Actuellement, nous menons deux initiatives principales dans ce domaine. La première consiste à organiser conjointement avec Scroll, EthStorage et le professeur Guo Yu de Anbi Lab une compétition de sécurité ZK appelée zkCTF, qui se tient chaque année. Cette compétition vise principalement à former davantage de talents spécialisés en sécurité ZK.
La deuxième initiative est le développement d’un outil de détection de vulnérabilités appelé zkScanner, utilisant des méthodes formelles et d’analyse statique pour scanner les vulnérabilités dans les circuits ZK. zkScanner effectue un balayage initial pour identifier des points suspects, qui sont ensuite vérifiés manuellement. Il sert donc de complément à l’audit humain. Bien sûr, ces outils automatisés ne peuvent pas encore remplacer entièrement l’audit humain, mais ils s’avèrent efficaces pour détecter certains problèmes subtils liés aux contraintes.
Wuyue : Vous avez mentionné cet outil d’audit automatisé. Est-ce similaire aux outils de détection statique pour les tokens ERC-20 ?
Luis : C’est un peu comparable, mais pas tout à fait. Le point commun réside dans le flux de travail : analyser le code statique et indiquer l’emplacement et la cause des failles. La différence réside dans les types d’erreurs recherchées : dans les circuits, on distingue principalement deux catégories : Under-Constrain (sous-contrainte) et Over-Constrain (sur-contrainte). Or, l’analyse lexicale classique peine à identifier ces erreurs.
Wuyue : Parler de « contraintes » peut sembler abstrait. Pourriez-vous donner un exemple concret ?
Luis : Essayons d’aborder cela indirectement. Fondamentalement, les circuits sont une forme d’expression bien plus mathématique que les langages de contrats intelligents. Ils doivent finalement être convertis en R1CS, une expression purement polynomiale. Par conséquent, certains problèmes fréquents dans les programmes classiques sont rares dans les circuits.
Car le circuit lui-même « ne se trompe pas » : chaque circuit doit produire une preuve correcte à partir d’entrées et sorties valides. S’il contient une erreur, il ne passera pas la compilation. Cela garantit que le résultat du calcul est toujours « correct ». Mais pour un circuit, être simplement « correct » ne suffit pas : il doit l’être dans toutes les circonstances, d’où les problèmes de contraintes mentionnés précédemment.
Si un circuit est Over-Constrained, certaines entrées valides ne passeront pas. S’il est Under-Constrained, des entrées invalides pourraient être acceptées comme valides — des situations extrêmement critiques.
Wuyue : Ces problèmes ne peuvent donc pas être détectés par le compilateur, car ils relèvent des conditions initiales définies par le concepteur du circuit, dont l’expression comporte une erreur, c’est bien cela ?
Luis : Exactement. Ces problèmes ne sont pas uniquement syntaxiques, ils touchent aussi à l’intention du développeur et aux normes cryptographiques usuelles. Pour les identifier, il faut souvent recourir à des outils formels, comme des solveurs SMT.
4. Faust : Du point de vue commercial, quelle est votre vision du marché de l’audit ZK ?
Luis : L’audit ZK mérite une attention à long terme. Nous accumulons continuellement des compétences dans ce domaine. D’ailleurs, notre entrée dans l’écosystème Bitcoin pour l’audit s’explique par la bonne synergie entre Bitcoin et ZK, alors que le scénario autour des ZK Layer2 sur Ethereum semble retomber, et que la prochaine vague narrative du ZK n’est pas encore arrivée — elle pourrait être liée au FHE.
Notre entrée dans l’audit ZK n’a pas été particulièrement précoce ni tardive, nous sommes plutôt dans une phase d’observation et d’accumulation continue. Sur le plan opérationnel, nous poursuivons deux axes principaux : zkCTF et zkScanner, l’outil de détection de vulnérabilités dans les circuits ZK mentionné plus haut.
Wuyue : Pouvez-vous présenter brièvement l’événement zkCTF ?
Luis : Il s’agit d’une compétition CTF (Capture The Flag) que nous organisons annuellement dans le domaine ZK. Nous invitons des chercheurs en sécurité et experts ZK de haut niveau à y participer. Nous collaborons avec Scroll, EthStorage et le professeur Guo Yu d’Anbi Lab pour concevoir les épreuves, avec le soutien d’institutions comme Ingonyama, zkMove et HashKey.
Les participants proviennent du monde entier et sont de très haut niveau, notamment :
OpenZeppelin, Offside, Salus, Amber Group, Sec3, ainsi que des doctorants spécialisés en sécurité et ZK de Georgia Tech et Berkeley.
5. Faust : J’aimerais savoir ce que vous pensez de l’écosystème Bitcoin. J’ai entendu dire que vous avez audité plus de 30 projets Bitcoin. Quelle est votre opinion sur les Layer2 Bitcoin ?
Luis : Ces 30 projets Bitcoin comprennent des projets Layer2 ou dans l’écosystème Layer2, comme UniSat, Arch Network, Merlin Chain, RGB++, B² Network, ainsi que Liquidium et d’autres projets liés aux inscriptions et runes. La majorité sont des protocoles DeFi au sein des écosystèmes Layer2.
Concernant les Layer2 Bitcoin, je partage l’avis de Kevin He, cofondateur de Bitlayer, selon lequel la concurrence entre Layer2 Bitcoin se déroulera en trois phases : d’abord la course au TVL, puis l’attraction des développeurs, et enfin la compétition technologique. Selon moi, nous venons juste de terminer la première phase, ou commençons à peine la deuxième, axée sur l’attirance des développeurs et la construction d’écosystèmes.
Faust : Lorsque vous auditez des projets de l’écosystème Bitcoin, sur quels critères ou dimensions portez-vous votre attention ?
Luis : Concernant les Layer2 Bitcoin, nous examinons plusieurs dimensions. Certains projets nécessitent l’audit de leurs scripts sur la chaîne Bitcoin, d’autres l’audit de contrats déployés sur leur Layer2. Certains sont des ponts inter-chaînes ou des couches fondamentales, et certains Layer2 n’utilisent pas nécessairement l’EVM. Tous ces niveaux requièrent un audit.
Nous identifions principalement les surfaces d’attaque dans le code, et examinons sous divers angles la présence éventuelle de vulnérabilités. C’est une tâche complexe, car les Layer2 Bitcoin ressemblent à des blockchains publiques. Nous vérifions donc tous les points critiques habituels d’un audit de blockchain publique : double dépense, attaques d’éclipse, attaques Sybil, dépendances externes, centralisation, attaques de l’homme du milieu, etc. Ce serait trop long à détailler ici, mais nous pourrions y consacrer une autre discussion.
Notre capacité d’audit de chaînes est, à notre avis, au moins parmi les meilleures en Asie. Des membres de notre équipe ont découvert des vulnérabilités chez Sui, OKX Chain, GalaChain, Nervos, et récemment lors du concours d’audit public de Babylon, nous avons trouvé une vulnérabilité de niveau High et une de niveau Low.
6. Faust : D’après votre expérience en audit de sécurité, les ponts inter-chaînes sont-ils les plus vulnérables ? À mon sens, les ponts sont une extension du DeFi, donc aussi sujets aux attaques que les protocoles DeFi. Que pensez-vous de cela ?
Luis : En termes de fréquence, les pertes surviennent le plus souvent dans des zones liées au DeFi, mais en termes de montant, les attaques de ponts causent les pertes les plus importantes, entraînant des dégâts massifs dès qu’un problème survient. Bien sûr, quand je parle de DeFi, je fais surtout référence au niveau contrat : si un contrat DeFi présente une faille, il peut être exploité, avec peu de possibilités de correction.
Les ponts inter-chaînes sont effectivement les plus sujets aux problèmes, car ils gèrent des volumes importants d’actifs, et beaucoup utilisent des multisignatures, qui sont faciles à compromettre.
7. Faust : Quelle est selon vous l’ampleur de l’aide ou de l’impact des outils LLM comme ChatGPT sur le travail d’audit de code ?
Luis : L’aide est assez significative, mais surtout au niveau de l’assistance. Parfois, pour comprendre rapidement la fonction d’un bout de code, les auditeurs utilisent ChatGPT pour l’analyser. Mais ce n’est qu’un support : les détails finaux doivent toujours être vérifiés par un humain.
Autre usage : la rédaction de documents et rapports d’audit, particulièrement en anglais. Certains auditeurs dont l’anglais n’est pas natif utilisent ChatGPT pour améliorer la qualité linguistique — ce soutien est très utile.
Mais du point de vue de l’audit, nous formons aussi en interne certains modèles LLM spécifiques, basés sur des grands modèles open source. Pour l’instant, ils restent assistés : bien qu’ils améliorent l’efficacité, on ne peut absolument pas compter uniquement sur l’IA pour faire de l’audit. Elle permet peut-être d’améliorer l’efficacité de 20 % environ, mais on est loin d’un remplacement massif des auditeurs.
Les LLM présentent encore deux lacunes évidentes : les faux négatifs (fautes non détectées) et les faux positifs. On peut utiliser l’IA pour découvrir des vulnérabilités, mais attention au taux de faux positifs : si l’IA génère trop d’alertes erronées, cela gaspille du temps et devient un fardeau. Nous suivons de près l’évolution de l’IA, notamment sa capacité potentielle à réaliser une détection de vulnérabilités hautement efficace au niveau des outils. Ce domaine est encore en phase exploratoire, et aucune entreprise n’a encore prouvé une efficacité réelle à ce jour.
Wuyue : Concernant l’audit automatisé par IA, pensez-vous que ce sera un axe majeur à l’avenir ? Selon moi, l’IA lit le code presque instantanément, accumule plus d’expérience et explore bien plus d’états qu’un humain — c’est un gros avantage. Si une société de sécurité investit fortement là-dedans, en formant une IA spécialisée, elle pourrait surpasser ses concurrents. Qu’en pensez-vous ?
Luis : Nous surveillons ce domaine de près. Il faut le voir sous deux angles :
Premièrement, si l’on suppose que l’audit automatisé par IA peut vraiment fonctionner, alors en théorie, les LLM pourraient supprimer toute l’industrie de l’audit de code, car si tout le monde utilise un LLM pour générer du code, et que le LLM garantit que ce code est sans bug, alors l’audit devient inutile. Dans ce cas, ce n’est pas seulement l’audit qui disparaît, mais aussi les développeurs. Toutefois, atteindre un tel niveau est extrêmement difficile.
Si les LLM pouvaient remplacer les auditeurs, cela serait encore plus difficile que de remplacer les développeurs. Écrire du code fonctionnel est simple ; écrire du code sans vulnérabilités est beaucoup plus ardu. Je pense donc que remplacer les auditeurs par l’IA est encore plus difficile que de remplacer les programmeurs.
Deuxièmement, l’IA ne va pas supprimer immédiatement l’audit de sécurité, mais progressivement réussir des percées dans certains domaines. Par exemple, comme mentionné plus tôt, l’IA peut aider à découvrir des vulnérabilités, même si elle ne trouve pas tous les bugs. Elle peut repérer un ou deux types de problèmes que l’audit humain aurait pu négliger. Ce type d’application est précisément ce que nous surveillons de près.
8. Faust : Une dernière question sur le travail d’audit lui-même. Quel est exactement votre processus d’audit ? Ce n’est pas simplement délivrer un certificat, n’est-ce pas ? Pendant l’analyse du code, aidez-vous parfois les projets à optimiser leur code ?
Luis : Cela dépend des besoins du client. Parfois, nous aidons à optimiser le code initial, par exemple pour réduire la consommation de gaz dans certaines opérations DeFi.
Quant au processus d’audit, je peux le résumer ainsi : nous menons au minimum deux passes indépendantes : une première revue (audit initial), puis une revue finale (re-audit). Pendant la première revue, une équipe examine le code seul. Le projet peut alors corriger son code initial. Puis intervient la re-vue, effectuée par une autre équipe. Le résultat final est donc un audit croisé réalisé par deux groupes distincts.
En ce qui nous distingue d’autres sociétés d’audit, ScaleBit excelle particulièrement dans l’audit de projets innovants. Nous recrutons volontiers des personnes ayant un passé en CTF (compétitions de sécurité), car elles ont une forte capacité d’apprentissage et une bonne compréhension des diverses techniques d’attaque.
Par ailleurs, contrairement à d’autres entreprises, nous adoptons une approche « premium » : si une faille majeure ou supérieure est découverte après notre audit, nous remboursons 30 à 50 % des frais. C’est une garantie que peu d’autres sociétés d’audit osent offrir.
9. Faust : Certains pensent que l’audit de sécurité repose surtout sur la notoriété de la marque, comme les agences de notation de Wall Street. L’effet de réseau y est très fort : des entreprises établies comme SlowMist ont un avantage précoce et des barrières à l’entrée solides, rendant difficile pour les nouveaux venus de grappiller des parts de marché. Qu’en pensez-vous ?
Luis : Je suis partiellement d’accord, mais cela dépend des cas. Nous classons les clients selon trois niveaux de demande : faible, moyen et élevé. Les projets « shitcoins » sont au niveau bas. Viennent ensuite les projets moyens, dotés de certaines capacités mais pas d’équipes stars. Enfin, le niveau supérieur regroupe les équipes prestigieuses, bien financées.
Commençons par les clients haut de gamme : ils font généralement appel à 2 ou 3 sociétés d’audit, très soucieux de la qualité. Ils peuvent d’abord contacter les meilleurs cabinets mondiaux, mais ceux-ci étant débordés, beaucoup d’équipes prestigieuses font aussi appel à des sociétés moins connues mais rigoureuses, pour une double vérification.
Ce type de client est idéal pour les sociétés d’audit : ils sont riches, mais exigent une haute qualité. Ils font donc appel à plusieurs entreprises. Tant que votre compétence est solide, vous pouvez accéder à ces clients. Ce sont donc l’un de nos principaux segments.
Le deuxième segment, les clients intermédiaires, accordent de l’importance à la qualité d’audit, mais disposent de budgets limités. Ce sont des projets prometteurs susceptibles de devenir leaders. Ils aimeraient travailler avec des grandes firmes d’audit, mais ne peuvent pas forcément se le permettre.
Dans ce domaine, les véritables « entreprises de sécurité de premier plan », au niveau d’OpenZeppelin ou Trail of Bits, sont au maximum 4 ou 5. Tout le monde sait qu’elles sont excellentes, mais leurs prix sont très élevés — 3 à 10 fois supérieurs à ceux des sociétés classiques.
Les clients intermédiaires ne sont pas toujours pris en charge par ces leaders. Au lieu de consacrer tout leur budget à une seule grande firme, ils préfèrent le distribuer à plusieurs sociétés sérieuses, assurant ainsi une meilleure couverture. Ce groupe constitue notre plus grande clientèle, et nous espérons grandir avec eux.
Enfin, les clients du dernier segment, les « shitcoins », choisissent simplement le moins cher, ou paient pour un audit auprès d’une marque célèbre, sans se soucier de la qualité.
Ainsi, concernant votre remarque, il y a une part de vérité. Pour les entreprises d’audit ayant une longue histoire et une bonne réputation, l’effet de réseau existe bel et bien. Toutefois, certaines anciennes sociétés, malgré leur notoriété, ont récemment fait face à de graves incidents, révélant de nombreux problèmes.
Néanmoins, en tant que nouvelle société, il est crucial d’avoir un avantage différenciant. Notre stratégie est donc la percée ciblée :
s’imposer d’abord dans un créneau spécifique et y dominer totalement. Par exemple, dans l’écosystème Bitcoin Layer2, notre taux de couverture dépasse déjà 50 %. Dans l’écosystème Move, il est supérieur à 80 %. Même une entreprise de renom comme OpenZeppelin aurait du mal à nous concurrencer dans ces niches. L’effet de réseau dépend donc du contexte.
10. Faust : De votre point de vue personnel, quelle est la principale différence entre la sécurité Web2 et Web3 ? Vous pouvez illustrer avec votre expérience.
Luis : Tout d’abord, la sécurité Web3 en est à un stade très précoce, et son marché sera inévitablement plus vaste que celui de la sécurité Web2, car les exigences de sécurité sont bien plus fortes dans le Web3.
Je vais raconter une anecdote : un cadre chinois de la sécurité en Silicon Valley, ancien VP d’une entreprise cotée, disait que dans ce cercle, deux groupes dominent : les Chinois et les Juifs. Pourquoi les Chinois excellent-ils en sécurité ? Parce que c’est un métier invisible en temps normal, mais où l’on endosse tous les blâmes en cas de problème — un rôle que les Indiens et les Blancs évitent, laissant place aux Chinois. C’était le cas dans la sécurité Web2 ;
mais dans la sécurité Web3, c’est différent : le blockchain touche directement l’argent, donc la visibilité de la sécurité est amplifiée d’un ordre de grandeur. Dans ce domaine, de nombreux « professionnels de la sécurité » peuvent directement monétiser leurs compétences. On plaisante souvent en disant que les hackers sont les plus grands succès du passage de Web2 à Web3.
D’un point de vue technique, la sécurité Web3 inclut une partie de la sécurité Web2, en réutilisant bon nombre de ses technologies. Beaucoup de systèmes, comme les applications DeFi, comportent des serveurs et des interfaces nécessitant des tests d’intrusion traditionnels, une protection contre les DoS, etc. — autant d’éléments relevant aussi de la sécurité Web2.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@godrealmx
