Étude complète sur les dommages causés par les pirates cryptographiques de 2021 à 2023 : au-delà des vols, 30 % des projets voient leur jeton chuter de 50 % dans les six mois suivants
TechFlow SélectionTechFlow Sélection
Étude complète sur les dommages causés par les pirates cryptographiques de 2021 à 2023 : au-delà des vols, 30 % des projets voient leur jeton chuter de 50 % dans les six mois suivants
À part investir dans la sécurité en chaîne et améliorer progressivement la sécurité de l'ensemble de notre industrie, il n'existe aucune autre solution pour faire face à ces problèmes.
Dédié à des analyses Web3 approfondiesAuteur : Mitchell Amador
Traduction : TechFlow
Résumé
-
Jusqu’à présent, personne n’a pu estimer précisément les pertes attendues des attaques à l’actif sur la chaîne, ce qui est regrettable. Cependant, nous pouvons obtenir une estimation en effectuant une analyse statistique des attaques des dernières années ! J’ai analysé les attaques de 2021 à 2023 afin d’obtenir une estimation représentative du coût réel des attaques à l’actif sur la chaîne. Nous appellerons cela l’estimation de l’impact des piratages selon Amador.
-
L’estimation de l’impact des piratages selon Amador : si votre protocole est piraté, vous devriez perdre environ 16 millions de dollars, le prix de votre jeton chutera de 52 % en capitalisation boursière, cette baisse devrait durer au moins six mois (et potentiellement plus), et il faudra environ trois mois d’efforts pour récupérer.
-
Si votre produit est une plateforme (que ce soit une blockchain L1/L2 ou un protocole financier de base), prévoyez que votre protocole ainsi que ses dépendances seront détruits, comme l’illustrent des précédents tels que Terra-Luna.
-
Nous avons compilé ces résultats ici. Allez jeter un œil ! Nous y ajouterons davantage de données statistiques et points au fur et à mesure qu’ils deviendront disponibles.
Quel est le véritable coût des attaques à l’actif sur la chaîne ?
Jusqu’à présent, personne ne le sait vraiment. Mais on peut obtenir une estimation prédictive en analysant les attaques historiques. Dans cet article, nous passons en revue les données historiques des dernières années pour estimer les effets typiques d’une future attaque (et pas seulement le montant volé). À partir de là, nous allons créer une méthode heuristique pour estimer le coût typique d’une attaque contre votre protocole favori, que j’appelle l’estimation de l’impact des piratages selon Amador.
Il est choquant que malgré des centaines d’attaques subies par l’industrie cryptographique ces trois dernières années, nous n’ayons toujours pas de bonnes estimations de l’impact des piratages. Cette lacune s’explique par la difficulté de mesurer l’impact réel d’un piratage.
En réalité, la valeur nette volée (la métrique couramment utilisée) sous-estime gravement les dommages causés. Elle ignore tous les autres types de dégâts provoqués par un piratage, dont beaucoup entraînent des pertes financières supérieures à celles directement liées au vol, même s'ils sont plus difficiles à quantifier. Parmi les facteurs les moins reconnus par les non-spécialistes de la sécurité figurent :
-
Impact sur le marché : Il s'agit des dommages infligés au cours public des jetons (ou actions hypothétiques), pouvant persister longtemps après l’attaque. Moins connu que la perte immédiate de fonds, son importance reste largement sous-estimée même par de nombreux spécialistes de la sécurité.
-
Impact de dépendance : Ce terme désigne les effets secondaires d'une attaque initiale, endommageant d'autres actifs. Trois grandes catégories existent : dépendance de plateforme, dépendance financière et impact réputationnel. Par exemple, une attaque par déni de service sur une blockchain affecte tous les contrats construits dessus — c’est un cas de dépendance de plateforme. La chute du prix de Luna ayant détruit la valeur du stablecoin Terra illustre bien une dépendance financière (bien que ce ne soit pas un piratage classique dans DeFi). Un manque de sécurité perçu sur une plateforme (comme BNB Chain) pouvant freiner la croissance et l’adoption des utilisateurs est un exemple d’impact réputationnel.
-
Impact humain et organisationnel : Ces dommages sont difficiles à quantifier et se traduisent généralement par des pertes de temps, d’argent et de talents dus à la réponse et à la récupération après une attaque. Une attaque et son traitement peuvent absorber plusieurs mois de travail pour une petite startup, rendant cet impact toujours coûteux, parfois même fatal. Toutes les organisations, sauf les mieux préparées, doivent faire face à cet impact après une attaque.
Autrement dit, les dégâts typiques d’une attaque vont bien au-delà de ce que révèle le simple vol de fonds !
Le reste de cet article décrit une estimation de chaque type d’impact lors d’une attaque typique, en examinant les médianes historiques ou, lorsque les données font défaut, en m’appuyant sur mon expérience personnelle.
Impact du vol de fonds
Les données indiquent qu’il y a eu 107 attaques en 2021, 134 en 2022 et 247 en 2023, soit un total de 488 attaques publiques connues (2021–2023).
Axe X : Année, Axe Y : Nombre d’attaques
Ces attaques ont affecté 2 334 863 067 $ en 2021, 3 773 906 837 $ en 2022 et 1 699 632 321 $ en 2023, soit un total de 7 808 402 225 $ entre 2021 et 2023.
Axe X : Année, Axe Y : Montant volé (en USD)
Pour clarifier, les fonds affectés incluent ceux piratés, volés ou perdus autrement, mais excluent les fonds restitués ou récupérés par des hackers éthiques ou enquêteurs.
À partir de ces données, quelques calculs simples sur l’ensemble 2021–2023 donnent les résultats suivants :
-
Une attaque moyenne entraîne un vol de 16 000 824 $.
-
Une attaque médiane entraîne un vol de 1 000 000 $.
-
Les attaques suivent une distribution en loi de puissance : nombreuses petites attaques, mais quand une grande attaque survient, ses pertes sont plus de cent fois supérieures à celles d’une attaque médiane.
Impact sur le marché
Estimer l’impact sur le marché a toujours été un défi historique. Immunefi a publié le premier rapport sur ce sujet, couvrant 63 attaques en 2022. Il montre que le prix moyen du jeton sous-jacent chute de 13 % deux jours après l’attaque, puis de 19,5 % après cinq jours.
Pour enrichir cette analyse, nous avons décidé de mettre à jour cet ensemble avec autant de données que possible sur les attaques de 2021, 2022 et 2023. Nous utiliserons la médiane des variations de prix. Compte tenu des valeurs extrêmes possibles, la médiane fournit une estimation plus robuste sur un jeu de données élargi.
Le nouvel ensemble couvre 176 attaques. Les résultats sont assez frappants :
Baisse médiane du prix des jetons, du jour de l’attaque jusqu’à deux mois après :
Les données montrent clairement une baisse médiane du prix et une pression prolongée :
-
Chute de 10 % deux jours après l’attaque,
-
Chute de 19 % cinq jours après,
-
Chute de 27 % après un mois,
-
Chute de 43 % après trois mois,
-
Chute de 53 % après six mois.
Au-delà de la médiane, les cas les plus graves sont encore plus alarmants. Trois mois après l’attaque, 32 % des cas affichent une baisse de plus de 50 %, et 11 % une baisse de plus de 90 %. Six mois après, 35 % des projets continuent de subir une baisse supérieure à 50 %, et 16 % voient leur prix chuter de plus de 90 %.
Distribution des variations de prix six mois après l’attaque. Les données historiques montrent une forte et durable pression baissière sur les prix des jetons.
Cela illustre la distribution en loi de puissance de l’impact des piratages, où une seule attaque grave peut être fatale. En outre, l’impact s’aggrave avec le temps, persistant au moins six mois après l’attaque.
L’impact pourrait continuer à s’aggraver après un an, mais comme notre jeu de données couvre seulement trois ans, nous devrons attendre que les données de 2024 soient complètes pour confirmer cette hypothèse.
À noter : Nous ne pouvons pas affirmer à 100 % que cet impact est causé uniquement par l’attaque. De nombreux facteurs peuvent exercer une pression baissière sur le prix du jeton, dont certains que nous n’avons peut-être pas pris en compte. Le principal facteur de confusion est la corrélation entre le prix du jeton et les conditions macroéconomiques. Toutefois, les données sont si fortes et significatives qu’elles semblent principalement attribuables aux attaques, ce qui justifie notre position.
En combinant toutes les données, nous prévoyons qu’une attaque typique entraînera une baisse médiane de -19 % du prix du jeton dans les cinq premiers jours, atteignant -53 % dans les six mois suivants (et pouvant persister indéfiniment), avec 16 % de chances que les pertes dépassent 90 % de la capitalisation du projet.
La distribution des variations de prix six mois après l’attaque montre que 77,8 % des projets subissent encore une pression baissière à ce stade.
Il est clair que l’impact sur le marché peut être terrifiant !
Dès lors que l’on comprend que la plupart des projets utilisent leurs jetons liquides comme trésorerie et carburant de croissance, on saisit pourquoi les spécialistes de la sécurité accordent tant d’importance à l’impact sur le marché. Même sans perte directe, un fort impact sur le marché peut s’avérer tout aussi fatal.
Impact de dépendance (ou effet secondaire)
Un autre type d’impact souvent sous-estimé est ce que nous appelons l’impact de dépendance, ou parfois effet secondaire. Il décrit la cascade de dommages initiée par une attaque initiale. Voici quelques exemples :
-
L’impact de dépendance de plateforme concerne les dommages causés par l’arrêt d’une plateforme de base (ex. attaque par déni de service sur une blockchain), affectant tous les marchés monétaires ou perpétuels fonctionnant dessus, pouvant ruiner toutes les applications hébergées. Bien que fréquent (de nombreuses plateformes existent), la faible interconnexion entre économies hors chaîne et sur chaîne limite encore la fréquence de ce phénomène. La technologie blockchain s’étant révélée résistante, cet impact reste limité. À mesure que les liens se renforcent, cet impact deviendra plus courant et plus grave.
-
L’impact de dépendance financière désigne les effets secondaires d’une attaque sur des actifs dépendants. Les actifs exposés comprennent les stablecoins (MakerDAO, liquidation CDP), les jetons de mise en gage liquide (LIDO, Rocketpool, etc.), les protocoles de dérivés (Pendle) et presque tous les jetons appariés dans des pools de liquidité. Cette catégorie est parmi les plus difficiles à évaluer, car elle peut facilement passer inaperçue ; presque toute attaque impliquant un vol de jeton aura un effet direct ou indirect sur d’autres jetons.
Un exemple typique est l’effondrement de Terra-Luna. Une attaque financière sur le jeton action du protocole stablecoin a conduit au décrochage du stablecoin, amorçant une spirale descendante irrécupérable. L’effondrement a non seulement détruit 40 milliards de dollars de valeur Luna, mais aussi 1 milliard de dollars de stablecoin UST Terra impayés, ainsi que toute la valeur DeFi associée à Terra-Luna, comme les 1,5 milliard de dollars d’Anchor Protocol et d’innombrables autres protocoles basés sur Terra. Les dégâts sur l’écosystème Terra ont été quasi totaux ; aujourd’hui, sa valeur a chuté de 99 %, et l’écosystème est essentiellement mort.
Je collabore actuellement avec plusieurs collègues pour mieux comprendre la fréquence réelle de ces impacts de dépendance. Étant donné que cette recherche est en cours, nous éviterons de tirer des conclusions hâtives en intégrant cet impact dans notre règle d’estimation. Une fois terminée, nous partagerons nos découvertes et mettrons à jour cet article. Pour l’instant, ces impacts semblent bien plus graves que ce qui est généralement compris.
Impact humain et organisationnel
L’impact humain et organisationnel prend généralement deux formes : perte de personnel et changements opérationnels ou procéduraux.
L’impact humain concerne la perte de personnel après une attaque, due à des reproches d’imcompétence, au besoin de recruter de nouveaux experts en sécurité, ou à un moral dégradé. Il est courant que les projets touchés perdent leurs responsables sécurité précédents.
La situation s’aggrave car une attaque rend plus difficile le recrutement de nouveaux leaders en sécurité, signalant une faiblesse organisationnelle.
La deuxième forme concerne les investissements opérationnels ou procéduraux imprévus (presque toujours liés à la sécurité) après une attaque. Bien que positifs, ces investissements détournent l’attention précieuse, ralentissant le développement du produit principal.
Quantifier cet impact est difficile, mais j’ai une expérience directe issue de collaborations en « salle de crise » avec plusieurs projets, sur laquelle je m’appuierai.
D’après mon expérience, on perd généralement le responsable sécurité précédent après une attaque — CISO, ingénieur sécurité, ou leader technique chargé de la sécurité. Le départ peut être mutuel, car subir un piratage sous sa responsabilité est très frustrant, ou lié à un licenciement. Je pense qu’on les licencie souvent trop tôt, et que l’organisation met entre 1,5 et 4 mois à trouver un remplaçant compétent. Cela signifie une perte de temps critique pour le projet.
Une attaque plonge souvent l’équipe dans un état de choc durable. L’organisation consacre au moins deux semaines à l’évaluation et au contrôle des dégâts, puis deux à trois mois à des travaux de remédiation sécuritaire (devenus priorité absolue), ce qui repousse la feuille de route principale.
Les chiffres ci-dessus représentent des scénarios optimistes. L’impact humain peut être plus grave, affectant même la viabilité financière du projet, comme dans le cas de Kyberswap : en novembre 2023, KyberSwap a subi une attaque de 49 millions de dollars. Voulant naturellement compenser les utilisateurs, l’équipe a dû licencier 50 % de son personnel pour survivre, suspendant son protocole de liquidité et le projet KyberAI. La prime de 10 % offerte au pirate n’a finalement rien donné.
Transformer ces impacts en calcul simple est impossible, donc nous les résumons ainsi : si vous êtes piraté, prévoyez trois mois de travail de remédiation, trois mois de retard sur la feuille de route principale, la perte de votre responsable sécurité actuel, et trois mois avant de trouver un remplaçant. C’est comme perdre trois mois d’efforts. Un tel coup est très grave pour toute startup, bien qu’il ne soit généralement pas fatal.
Alors, quel est le coût total d’un piratage ?
En rassemblant toutes ces informations, nous disposons désormais des éléments nécessaires pour une estimation. Résumons par dommages quantifiés et gravité :
1. Une attaque moyenne cause environ 16 millions de dollars de pertes exploitées.
2. Une attaque médiane entraîne une chute violente de 52 % de la capitalisation boursière du jeton sous-jacent sur six mois. 79 % des projets continuent de subir une pression baissière après six mois, et la durée finale de cette pression liée au piratage est inconnue — peut-être illimitée.
3. Une attaque médiane n’entraîne pas d’impact de dépendance financière ou de plateforme, mais quand elle se produit, elle est souvent absolument catastrophique, risquant la destruction totale des actifs dépendants de la plateforme. Dans les cas graves, l’impact potentiel typique peut atteindre la somme totale de la valeur extractible sur la plateforme !
4. Plus difficile à estimer, une attaque médiane entraîne environ trois mois de perte de temps et d’efforts, incluant les travaux de remédiation, le retard accumulé, la rotation du personnel, la perte du responsable sécurité, et une forte anxiété visant à éviter tout nouveau piratage.
Nous avons maintenant tout ce qu’il faut pour créer une règle simple évaluant le coût réel d’un piratage sur la chaîne. Si votre protocole est piraté :
1. Prévoyez une perte d’environ 16 000 824 $.
2. Prévoyez une chute de 52 % de la capitalisation boursière de votre jeton, cette baisse durant au moins six mois, avec peu de chances de rebond (77,8 % des jetons attaqués montrent encore une pression baissière après six mois).
3. Prévoyez une perte de trois mois de temps et d’efforts pendant la récupération et la reconstruction.
Un exemple concret conforme à cette estimation est l’attaque contre Indexed Finance, en octobre 2021, où 16 millions de dollars ont été volés. La capitalisation du jeton était alors de 11 millions, tombant à 3,8 millions six mois plus tard, illustrant clairement la pression baissière prolongée. L’équipe n’a jamais totalement récupéré, et Indexed Finance avait pratiquement disparu début 2022. Notre estimation semble donc prédire efficacement l’impact d’un piratage.
Si votre produit est une plateforme (blockchain L1/L2 ou protocole financier de base) et que vous êtes piraté, la gravité typique d’une attaque est absolument fatale : votre protocole et ses dépendances risquent l’anéantissement complet.
C’est extrêmement effrayant.
Conclusion
Être piraté est le début des dommages, pas la fin. Perdre des millions à cause d’un piratage signifie subir des pertes encore plus grandes dues à l’impact sur le marché et aux effets de dépendance, sans compter les mois passés à reconstruire une équipe et des opérations traumatisées. Ce n’est pas amusant.
La seule solution face à ces menaces est d’investir massivement dans la sécurité sur chaîne et d’améliorer progressivement celle de toute l’industrie.
Parmi ces mesures, les primes aux bogues sont les plus efficaces, ayant prouvé qu’elles empêchaient à grande échelle les attaques et leurs conséquences. J’ai fait un rapide retour sur l’impact des primes Immunefi dans la prévention de dizaines de milliards de dollars de pertes, que vous pouvez lire dans mon « Retour sur Immunefi ».
Mais plus encore, nous avons besoin de plus et de meilleurs audits de code, réalisés par davantage de hackers talentueux, de normes de sécurité améliorées, et de technologies automatisées avancées. Seule une consolidation complète de la pile technologique permettra d’empêcher efficacement les piratages.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@MitchellAmador
