
BitsLab publie une importante étude de recherche sur la sécurité : Aperçu complet de la sécurité des nouvelles blockchains émergentes en 2024
TechFlow SélectionTechFlow Sélection

BitsLab publie une importante étude de recherche sur la sécurité : Aperçu complet de la sécurité des nouvelles blockchains émergentes en 2024
Ce rapport se concentre sur quatre grands axes : Move, TON, l'extension de Bitcoin et les blockchains applicatives Cosmos, en offrant une analyse détaillée selon trois angles : innovation technologique, défis de sécurité et incidents historiques de sécurité.

Ce rapport se concentre sur quatre grands axes : Move, TON, l'extension de Bitcoin et les chaînes d'applications Cosmos. Il propose une analyse détaillée selon trois angles : innovation technologique, défis en matière de sécurité et événements historiques liés à la sécurité, offrant ainsi des enseignements et pistes de réflexion aux investisseurs, développeurs et hackers éthiques :

Écosystème Move (Aptos, Sui, etc.)
Le rapport présente comment le langage Move révolutionne la programmation des contrats intelligents grâce à sa gestion des ressources, sa conception modulaire et ses mécanismes intégrés de sécurité. Une analyse approfondie des innovations et de l'architecture sécurisée d'Aptos et de Sui est également fournie.
Développé initialement par Facebook (aujourd'hui Meta) pour le projet Diem (Libra), le langage Move vise à résoudre les problèmes de performance et de sécurité rencontrés avec les langages traditionnels de contrats intelligents. Conçu pour assurer clarté et sécurité dans la gestion des ressources, Move garantit un contrôle rigoureux de chaque changement d'état sur la blockchain. Ce langage innovant présente plusieurs avantages marquants :
Modèle de gestion des ressources : Move traite les actifs comme des ressources non copiables ni destructibles. Ce modèle unique évite les erreurs courantes dans les contrats intelligents telles que les doubles dépenses ou la destruction accidentelle d’actifs.
Conception modulaire : Move permet de construire des contrats intelligents de manière modulaire, favorisant la réutilisation du code et réduisant la complexité du développement.
Haut niveau de sécurité : Move intègre nativement de nombreux mécanismes de vérification qui préviennent les vulnérabilités fréquentes, telles que les attaques par réentrance (reentrancy attacks).
En outre, le rapport retrace les principaux incidents de sécurité survenus entre 2023 et fin 2024 au sein de la machine virtuelle Move et du réseau Aptos, alertant la communauté sur des risques potentiels tels que les boucles infinies menant à des attaques par déni de service (DoS) ou les failles dans le mécanisme d'éviction du mempool.
Écosystème TON
TON (The Open Network) est une blockchain et un protocole de communication numérique créé par Telegram, conçu pour offrir une plateforme rapide, sécurisée et évolutive, permettant aux utilisateurs d'accéder à des applications et services décentralisés. En combinant la technologie blockchain avec les fonctionnalités de communication de Telegram, TON atteint des performances élevées, une grande sécurité et une forte scalabilité. Il permet aux développeurs de créer diverses applications décentralisées (dApps) et offre des solutions de stockage distribué. Comparé aux plateformes blockchain traditionnelles, TON se distingue par une vitesse de traitement et un débit nettement supérieurs, reposant sur un mécanisme de consensus Proof-of-Stake (PoS).
TON utilise un consensus Proof-of-Stake et combine des contrats intelligents Turing-complets avec une architecture blockchain asynchrone, ce qui lui confère haute performance et polyvalence. Ses transactions extrêmement rapides et peu coûteuses sont rendues possibles grâce à une architecture flexible et fragmentable. Cette structure permet une montée en charge aisée sans perte de performance. Le sharding dynamique repose sur des fragments distincts développés initialement pour des objectifs spécifiques, capables de fonctionner simultanément et d'éviter les accumulations massives. Le temps de bloc sur TON est de 5 secondes, avec une finalisation en moins de 6 secondes.
L'infrastructure existante se divise en deux parties principales :
● Chaîne principale (Masterchain) : Gère toutes les données critiques du protocole, notamment les adresses des validateurs et les quantités de jetons validées.
● Chaînes de travail (Workchains) : Chaînes secondaires connectées à la Masterchain, contenant toutes les informations de transaction et divers contrats intelligents. Chaque Workchain peut appliquer des règles différentes.
La Fondation TON, gérée par la communauté centrale de TON sous forme de DAO, soutient les projets de l’écosystème via un accompagnement aux développeurs et des incitations à la liquidité. Le rapport détaille les progrès significatifs accomplis par la communauté TON en 2024, tout en mettant en lumière une vulnérabilité récente : certains contrats malveillants peuvent entraîner une saturation des ressources de la machine virtuelle via des structures imbriquées, soulignant l'importance d’un audit rigoureux de la sécurité des contrats.
Pour plus de détails sur l’écosystème TON, veuillez télécharger le rapport
Écosystème d’extension de Bitcoin
Des solutions de couche 2 et de sidechain telles que le Lightning Network, Liquid Network, Rootstock (RSK), B² Network et Stacks propulsent des avancées majeures dans la capacité transactionnelle et la programmabilité de Bitcoin. Le Lightning Network améliore l'efficacité des transactions, Liquid Network accélère les échanges institutionnels, tandis que Rootstock étend l’écosystème des dApps en combinant sécurité et contrats intelligents. De plus, B² Network et Stacks approfondissent davantage les fonctionnalités et cas d’usage de Bitcoin.
Le Lightning Network est l'une des solutions de couche 2 les plus matures et largement adoptées pour Bitcoin. En créant des canaux de paiement hors chaîne, il déplace un grand nombre de petites transactions hors de la blockchain principale, augmentant considérablement la vitesse des transactions et réduisant les frais.

Source de l'image : https ://lightning.network/lightning-network-presentation-time-2015-07-06.pdf
Liquid Network est une sidechain fonctionnant sur la plateforme open source Elements Blockchain, spécialement conçue pour accélérer les transactions entre bourses et institutions. Elle est gouvernée par une alliance distribuée composée d’entreprises Bitcoin, d’échanges et d’autres parties prenantes. Liquid utilise un mécanisme d’ancrage bidirectionnel permettant de convertir BTC en L-BTC, et inversement.

Source de l'image : https ://docs.liquid.net/docs/technical-overview
Rootstock, né en 2015, est la sidechain de Bitcoin ayant fonctionné le plus longtemps, dont le réseau principal a été lancé en 2018. Sa particularité réside dans la combinaison de la sécurité basée sur la preuve de travail (PoW) de Bitcoin avec la fonctionnalité des contrats intelligents d’Ethereum. Solution open source compatible EVM et de couche 2 pour Bitcoin, Rootstock ouvre la porte à un écosystème croissant de dApps, s’efforçant d’atteindre une totale décentralisation.
L’architecture technique de B² Network repose sur une double couche : la couche Rollup et la couche disponibilité des données (DA). B² Network vise à redéfinir la perception des solutions de deuxième couche pour Bitcoin.
Depuis son lancement en 2018 sous le nom Blockstack, Stacks est devenu l’une des principales solutions de couche 2 pour Bitcoin. Directement connecté à Bitcoin, il permet de construire des contrats intelligents, des dApps et des NFT sur Bitcoin, étendant considérablement ses fonctionnalités au-delà du simple stockage de valeur. Il utilise un mécanisme de consensus unique appelé Proof-of-Transfer (PoX), liant directement sa sécurité à celle de Bitcoin sans modifier le protocole initial.

Source de l'image : https ://docs.stacks.co/stacks-101/proof-of-transfer
La vision de Babylon est d’étendre la sécurité de Bitcoin afin de protéger le monde décentralisé. En exploitant trois aspects de Bitcoin — son service d’horodatage, son espace de blocs et la valeur de ses actifs — Babylon peut transférer la sécurité de Bitcoin vers de nombreuses blockchains PoS, créant ainsi un écosystème plus fort et unifié.

Bien que ces technologies ouvrent de nouvelles possibilités pour l’écosystème Bitcoin, elles font face à des défis tels que les « attaques par cycles alternatifs » sur le Lightning Network, les erreurs de calcul UTXO ou encore les risques liés au mécanisme de retour arrière (rollback) PoW.
Consultez le rapport complet pour plus de détails sur l’écosystème Bitcoin
Écosystème des chaînes d’applications Cosmos
Fondé sur le consensus Tendermint, le SDK Cosmos et la communication inter-chaînes IBC, cet écosystème incarne une vision novatrice d’un « internet des blockchains », porteur de multiples innovations technologiques.
L’architecture de Cosmos repose sur un modèle Hub et Zone : le Hub (centre) agit comme nœud central inter-chaînes, reliant et coordonnant plusieurs Zones (blockchains indépendantes). Les points forts de cette architecture sont les suivants :
Gestion décentralisée : chaque Zone est une blockchain autonome et indépendante, ne dépendant pas d’un nœud centralisé.
Connexion inter-chaînes efficace : grâce au Hub, les Zones peuvent communiquer entre elles et échanger des actifs de façon transparente, réalisant une véritable interopérabilité.
Le rapport analyse en profondeur les vulnérabilités potentielles des chaînes d’applications Cosmos, allant de l’ordre d’appel des modules à la transmission des messages inter-chaînes. À travers des controverses autour du module de mise en gage liquide (LSM) et des problèmes de gouvernance, il fournit des avertissements et enseignements précieux pour d'autres projets de chaînes d'applications.
Consultez le rapport complet pour plus de détails sur l’écosystème des chaînes d’applications Cosmos
Résultats de recherches sur les vulnérabilités
Le rapport recense en détail les neuf types de vulnérabilités courantes dans l’industrie blockchain. Ces failles traversent différents niveaux techniques et affectent des composants centraux de multiples écosystèmes, allant de la communication inter-chaînes à la conception des modèles économiques.
1. Vulnérabilités dans la communication inter-chaînes L2/L1 : Bien que cruciale pour l’interopérabilité, cette communication comporte de nombreux risques, tels que l’absence de prise en compte du rollback de blocs sur L1, la falsification d’événements on-chain, ou encore l’absence de vérification du succès des transactions envoyées depuis L2 vers L1.
2. Vulnérabilités des chaînes d’applications Cosmos : Bien que centré sur l’interopérabilité via IBC, l’écosystème Cosmos peut présenter des failles, notamment les plantages des modules BeginBlocker et EndBlocker, une mauvaise utilisation de l’heure locale ou des nombres aléatoires, ainsi que 11 autres vulnérabilités.
3. Vulnérabilités dans l’écosystème d’extension de Bitcoin : Incluent des failles dans la construction des scripts Bitcoin, des omissions liées aux actifs dérivés, ou encore des erreurs de calcul du montant des UTXO.
4. Vulnérabilités courantes dans les langages de programmation : boucles infinies, récursion illimitée, débordements d’entiers, conditions de concurrence, etc.
5. Vulnérabilités du réseau P2P : Bien que fondamental pour les systèmes décentralisés, le réseau P2P fait face à des failles telles que les attaques dites « aliens », l’absence de modèle de confiance ou de limite du nombre de nœuds.
6. Attaques par déni de service (DoS) : Épuisement de la mémoire, du disque dur, des handles du noyau, fuites mémoire persistantes, etc.
7. Vulnérabilités cryptographiques : Compromettent la confidentialité et l’intégrité des données. Principales formes : utilisation d’algorithmes de hachage non sécurisés, création d’algorithmes de hachage personnalisés non sûrs, collisions de hachage dues à une mauvaise implémentation.
8. Vulnérabilités du registre (ledger) : Fuites dans le mempool des transactions, collisions de hachage des blocs, logique défectueuse de traitement des blocs orphelins, collisions de hachage dans les arbres de Merkle, etc.
9. Vulnérabilités des modèles économiques : Ces modèles jouent un rôle crucial dans les systèmes blockchain, influençant les mécanismes d’incitation, la gouvernance et la durabilité globale. Le rapport insiste sur la nécessité de surveiller attentivement ces vulnérabilités.
Consultez le rapport complet pour plus de détails sur les types de vulnérabilités
Liste des surfaces d’attaque courantes
Le rapport dresse également la liste des 13 surfaces d’attaque les plus fréquentes, chacune pouvant servir de point d’entrée aux pirates, ce qui exige une attention accrue de la part des développeurs et des projets :
1. Machine virtuelle
2. Module de découverte des nœuds P2P et synchronisation des données
3. Module d’analyse des blocs
4. Module d’analyse des transactions
5. Module du protocole de consensus
6. « Autres surfaces d’attaque disponibles dans le rapport »
…
Meilleures pratiques de développement sécurisé
À partir d’une riche série de retours d’expérience et de cas pratiques d’attaques et de défenses, le rapport synthétise des approches systématisées pour la sécurité.
Au niveau de la protection, celui-ci propose des recommandations détaillées sur les meilleures pratiques de développement de chaînes, couvrant le traitement des blocs et des transactions, les machines virtuelles de contrats intelligents, les systèmes de journalisation et interfaces RPC, la conception des protocoles P2P contre les attaques DoS, le chiffrement et l’authentification au niveau de la couche transport, les tests flous (fuzzing), l’analyse statique du code et les audits de sécurité tiers. L’objectif est d’offrir un guide clair et applicable à tous les stades du cycle de vie d’un projet blockchain.
Contexte de rédaction du rapport :
Dès le début de l’année 2025, en regardant en arrière sur l’année passée, on observe une itération continue et rapide des technologies blockchain à l’échelle mondiale : de la performance transactionnelle à l’interaction inter-chaînes, en passant par les langages de contrats intelligents et les solutions d’extension des nœuds. L’industrie entre dans une phase nouvelle, plus diversifiée et complexe. Parallèlement, de nouvelles blockchains émergent rapidement, tirant parti d’architectures réseau flexibles, de modèles de programmation innovants et de cas d’usage variés, façonnant continuellement les tendances technologiques et la prospérité de l’écosystème Web3.
Cependant, les risques de sécurité deviennent de plus en plus visibles. En cas d’attaque ou d’exploitation de vulnérabilité, les conséquences peuvent aller jusqu’à la perte d’actifs sur la chaîne ou même au blocage du réseau, compromettant la stabilité de tout l’écosystème blockchain. C’est pourquoi BitsLab, organisation mondiale de premier plan spécialisée dans la protection et la construction des nouveaux écosystèmes Web3, publie officiellement le Rapport d’observation complète et d’étude de sécurité des nouvelles blockchains émergentes 2024, afin d’aider les acteurs du secteur à anticiper précisément les risques et à élaborer des stratégies de protection efficaces.
Présentation de l’entreprise
Spécialisé depuis longtemps dans la sécurité de l’industrie blockchain et Web3, BitsLab a accumulé une riche expérience d’audit et des compétences techniques approfondies. Des écosystèmes Move et TON aux domaines d’extension de Bitcoin et aux chaînes d’applications Cosmos, BitsLab a fourni des services d’audit de sécurité et de soutien aux infrastructures pour de nombreux projets blockchain. Ce rapport représente à la fois le fruit de recherches continues et d’expériences pratiques, et un guide professionnel destiné à toute l’industrie. Nous espérons que davantage de projets, d’institutions d’investissement, de chercheurs et de membres de la communauté, en lisant ce document, pourront avancer sereinement dans la vague technologique en constante évolution, contribuant ainsi à un développement sain et durable du monde décentralisé, ancré sur la sécurité.
Le Rapport d’observation complète et d’étude de sécurité des nouvelles blockchains émergentes 2024 est désormais disponible. Les personnes intéressées sont invitées à télécharger la version complète via le site officiel de BitsLab ou ses plateformes partenaires, pour explorer en profondeur les dernières avancées en matière de sécurité blockchain, et œuvrer ensemble avec BitsLab à renforcer la sécurité des nouvelles blockchains. Ensemble, préparons-nous à un avenir Web3 plus vaste, plus prospère et plus stable !
Cliquez ici pour lire et télécharger les versions chinoise et anglaise du rapport
À propos de BitsLab
BitsLab est une organisation dédiée à la protection et à la construction des nouveaux écosystèmes Web3, avec pour ambition de devenir un acteur de sécurité Web3 respecté par l’industrie et les utilisateurs. Elle comprend trois marques filiales : MoveBit, ScaleBit et TonBit.
BitsLab se concentre sur le développement d’infrastructures et les audits de sécurité pour les nouveaux écosystèmes, couvrant notamment Sui, Aptos, TON, Linea, BNB Chain, Soneium, Starknet, Movement, Monad, Internet Computer et Solana. L’organisation démontre également une expertise solide dans l’audit de multiples langages de programmation, notamment Circom, Halo2, Move, Cairo, Tact, FunC, Vyper, Rust et Solidity.
BitsLab rassemble plusieurs experts de haut niveau en recherche de vulnérabilités, plusieurs fois récompensés lors de compétitions internationales CTF, ayant découvert des failles critiques dans des projets renommés tels que TON, Aptos, Sui, Nervos, OKX et Cosmos.
Visitez le site officiel de BitsLab : https://bitslab.xyz/
Suivez BitsLab et ses marques filiales sur X (ex-Twitter) :
BitsLab : https://x.com/0xbitslab
MoveBit : https://x.com/MoveBit_
ScaleBit : https://x.com/scalebit_
TonBit : https://x.com/tonbit_
Rejoignez la communauté officielle de BitsLab sur Telegram : https://t.me/BitsLabHQ
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














