
Quand la signature multiple devient un point de défaillance unique, où les utilisateurs de portefeuille Safe doivent-ils aller ?
TechFlow SélectionTechFlow Sélection

Quand la signature multiple devient un point de défaillance unique, où les utilisateurs de portefeuille Safe doivent-ils aller ?
Quand la signature multiple n'est plus sécurisée.
Le 21 février 2025, l'exchange de cryptomonnaies Bybit a été victime d'une attaque de piratage entraînant le vol d'environ 1,5 milliard de dollars d'actifs. Cet incident a non seulement établi un nouveau record de vols dans l'histoire des cryptomonnaies, mais a surtout choqué toute l'industrie en contournant le mécanisme de sécurité multisignatures considéré comme la norme du secteur.
L'analyse post-incident a révélé que les pirates avaient compromis l'appareil d'un développeur de Safe et modifié le code JavaScript front-end sur le serveur de Safe{Wallet}. Lorsque les détenteurs multisignataires de Bybit se sont connectés, l'interface affichait une transaction normale, mais ce qu'ils signaient réellement était complètement différent, provoquant ainsi le vol des fonds.
Cet événement soulève une question profonde : le portefeuille multisignatures est-il vraiment le problème ? Ou bien est-ce la manière dont nous l'utilisons qui est défaillante ?
Le point aveugle de la sécurité : le point de défaillance unique invisible
Après l'incident Bybit, une question émerge : Safe est-il vraiment sécurisé ?
Il faut reconnaître que le contrat Safe lui-même est sécurisé. Entièrement open source, il a été audité par plusieurs sociétés de cybersécurité et n'a jamais présenté de vulnérabilité majeure au cours de son historique d'exécution. Mais la sécurité ne se limite pas au seul code du contrat.
En réalité, les risques de sécurité concernent une longue chaîne de confiance. Lorsqu'on utilise un portefeuille Safe, les signataires dépendent de nombreux maillons : l'appareil de signature, le système d'exploitation, le navigateur, l'extension de portefeuille, l'interface utilisateur (UI) de Safe, les nœuds RPC, l'explorateur de blockchain, le portefeuille matériel et ses logiciels associés. Cette chaîne est trop longue : les pirates n'ont besoin de compromettre qu'un seul maillon pour obtenir un gain colossal.
Dans l'attaque contre Bybit, les assaillants ont ciblé un maillon apparemment anodin : le front-end web. Ils ont attaqué le serveur de Safe{Wallet} et remplacé le JavaScript. Les utilisateurs pensaient signer une transaction normale, alors qu’en réalité ils autorisaient une mise à niveau malveillante (remplacement de CALL par DELEGATE_CALL).
Une analyse plus poussée révèle que la racine de ces vulnérabilités réside dans les « points d’intersection de la chaîne de confiance ». Un portefeuille multisignatures devrait former une chaîne de sécurité où chaque étape est vérifiée indépendamment par plusieurs personnes. En théorie, chaque signataire devrait utiliser des outils et méthodes distincts pour valider la transaction. En pratique toutefois, les signataires partagent souvent la même interface web, les mêmes nœuds RPC, le même type de portefeuille matériel et des processus de vérification similaires.
Cela met en lumière une faille critique : lorsque tous les signataires dépendent de la même interface web, un attaquant qui contrôle ce point unique peut tromper simultanément tous les signataires. Ce n'est pas un problème propre à Safe, mais un angle mort fréquemment ignoré dans la pratique des solutions multisignatures.
Ces points partagés constituent les faiblesses de la chaîne de sécurité. Il suffit aux pirates de compromettre un seul point d’intersection pour affecter tout le groupe.
Cette leçon essentielle nous enseigne que la sécurité n’est pas simplement une question d’outil, mais un ensemble de pratiques systémiques. Posséder un excellent outil multisignatures ne garantit pas la sécurité ; l’essentiel réside dans la manière dont on construit un processus de sécurité complet avec cet outil.
Pour les institutions et exchanges, cette prise de conscience est particulièrement urgente. Les données de 2024 montrent que les pertes dues aux vols de cryptomonnaies ont augmenté de 67 %, atteignant 494 millions de dollars, tandis que le nombre d'adresses victimes n’a augmenté que de 3,7 %. Les attaquants adoptent désormais clairement une stratégie de « tir précis » visant des cibles à haute valeur, le montant maximum volé lors d’une seule opération s’élevant à 55,48 millions de dollars. Dès lors que vos actifs atteignent une échelle institutionnelle, vous devenez la cible prioritaire des hackers, et toute concession en matière de sécurité peut avoir des conséquences désastreuses.
La perte subie par Bybit constitue justement la leçon la plus marquante, envoyant un signal d'alarme à toute l'industrie : la véritable sécurité multisignatures repose sur plusieurs chemins de vérification indépendants, et non simplement sur la multiplication des signataires. Si tous les signataires dépendent de la même source d'information, aucun nombre de signatures ne pourra offrir une sécurité réelle.
Autrement dit, Safe peut être très sûr, à condition de l'utiliser correctement et de comprendre chaque maillon de la chaîne de sécurité. Cela est particulièrement crucial pour les utilisateurs à haut patrimoine.
MPC + Safe : une combinaison de sécurité encore plus puissante ?
Si l'attaque ayant coûté 1,5 milliard de dollars à Bybit nous a appris quelque chose, c’est qu’il faut repenser la nature même de la sécurité : la sécurité d’un portefeuille multisignatures ne dépend pas du nombre de signataires, mais de l’indépendance des chemins de vérification.
Lorsque tous les signataires consultent la même interface web, on crée un point de défaillance unique parfait. Il suffit aux pirates de compromettre ce point pour tromper tout le monde. C’est exactement ce qui s’est produit dans l’affaire Bybit.
Alors, comment renforcer l’indépendance des chemins de vérification tout en conservant l’avantage de la dispersion des autorisations du multisignature ?
La combinaison MPC et Safe pourrait bien être la réponse. Cette association exploite non seulement les forces des deux technologies, mais ouvre aussi la voie à un nouveau paradigme de sécurité capable de résoudre fondamentalement le problème des « points de confiance partagés » dans les solutions multisignatures actuelles.
La conception de sécurité combinée MPC+Safe de Cobo Portal repose sur deux principes fondamentaux :
Découpler les chaînes de vérification
Dans les solutions multisignatures traditionnelles, tous les signataires partagent la même interface, les mêmes nœuds RPC et la même logique d’analyse, créant ainsi un dangereux « point central de confiance ». Une solution plus sûre doit briser ce modèle et mettre en place des systèmes de vérification séparés :
-
Infrastructure de signature séparée (comme MPC ou HSM)
-
Réseau de nœuds RPC géré de façon autonome (sans dépendre des nœuds fournis par Safe)
-
Service indépendant d’analyse du contenu des transactions (garantissant que chaque signataire voit le contenu réel de la transaction)
-
Interface d’approbation dédiée, totalement isolée de l’interface web principale
La solution de « co-signature Safe{Wallet} » lancée par Cobo est précisément conçue selon ce principe. Elle peut agir comme un signataire au sein d’un portefeuille multisignatures Safe, tout en étant entièrement indépendante des autres signataires.
Son fonctionnement est le suivant : Cobo Portal récupère depuis les services de Safe la transaction en attente de signature, l’analyse via un système de contrôle des risques indépendant, puis procède à la signature à l’aide d’un portefeuille MPC ou d’un portefeuille HSM entièrement géré, avant de renvoyer la signature au système.
Reprenons l’exemple de l’incident Bybit : même si les pirates avaient pris le contrôle de l’interface Safe, le système de vérification indépendant de Cobo aurait continué d’afficher le contenu réel de la transaction et généré des alertes de risque.
Principe du moindre privilège
En tant que produit de sécurité de Cobo, le module de séparation des permissions de Cobo Safe incarne une idée simple mais puissante : un portefeuille froid n’a jamais besoin de disposer de tous les droits.
Prenons l’exemple d’un exchange : la fonction principale du portefeuille froid est d’alimenter le portefeuille chaud. Or, à chaque fois que le portefeuille chaud a besoin de fonds, l’administrateur doit utiliser les pleins pouvoirs du portefeuille froid pour effectuer un transfert, ce qui augmente inutilement l’exposition au risque.
La solution proposée par Cobo est directe : elle permet de créer un rôle spécial d’« opérateur restreint », disposant d’un seul droit : transférer des cryptomonnaies prédéfinies vers une adresse de portefeuille chaud préautorisée. Les opérations courantes peuvent ainsi s’effectuer via cette adresse à faible permission, sans nécessiter d’activer fréquemment le portefeuille Safe principal. Les utilisateurs peuvent également personnaliser leurs listes blanches/noires dans Safe, y compris en limitant les contrats cibles pouvant être appelés, renforçant ainsi davantage le contrôle des permissions.
Cela signifie que même si les pirates prennent entièrement le contrôle de ce compte opérateur, la seule chose qu’ils peuvent faire est de transférer des fonds vers le portefeuille chaud de l’exchange — sans pouvoir modifier les paramètres du portefeuille, envoyer des fonds vers d’autres adresses ou utiliser des cryptomonnaies hors liste blanche.
Si Cobo Portal avait été utilisé, l'accident de vol de 1,5 milliard de dollars serait-il survenu ?
Dès lors qu’on comprend comment agissent les attaquants, on peut concevoir des défenses efficaces. Simulons le parcours de l’attaquant pour voir comment les protections de Cobo Portal auraient fonctionné dans le scénario de l’attaque Bybit.
Reconstitution du scénario
Étape 1 : injection d’un code JavaScript malveillant dans le front-end Safe
-
Dans un schéma multisignatures Safe classique : tous les signataires utilisent la même interface compromise et voient un contenu de transaction falsifié ;
-
Dans un schéma de co-signature Cobo Safe{Wallet} : bien que l’interface Safe soit compromise, l’application d’approbation indépendante de Cobo n’est pas affectée et affiche le contenu réel de la transaction.
Étape 2 : demande de signature d’une transaction伪装ée
-
Dans un schéma multisignatures Safe classique : les signataires voient « transfert vers le portefeuille chaud », mais signent en réalité une autorisation de mise à niveau ;
-
Dans un schéma de co-signature Cobo Safe{Wallet} : la chaîne de vérification indépendante détecte que la transaction réelle est une opération Delegate Call, et l’application affiche un avertissement de risque.
Étape 3 : collecte des signatures pour exécuter l’attaque
-
Dans un schéma multisignatures Safe classique : une fois suffisamment de signatures recueillies, les attaquants obtiennent le contrôle du contrat ;
-
Dans un schéma de co-signature Cobo Safe{Wallet} : le contenu réel de la transaction et les alertes de risque permettent aux signataires d’identifier le comportement malveillant.
Étape 4 : contourner la défense multisignatures
-
Dans un schéma multisignatures Safe classique : une fois le contrôle du contrat acquis, les attaquants peuvent transférer tous les actifs ;
-
Avec la solution Cobo Safe combinée : même si toutes les autres lignes de défense étaient franchies, la séparation des permissions garantit que les attaquants ne peuvent exécuter que des opérations préautorisées (par exemple, transférer vers le portefeuille chaud whitelisté).
Avec les protections de vérification indépendante de Cobo Portal, les attaquants de Bybit auraient été bloqués à plusieurs niveaux. Soulignons que bien que la solution de co-signature Cobo Safe{Wallet} et Cobo Safe soient deux produits distincts, leur utilisation combinée offre un niveau de sécurité supérieur. Même si la première ligne de défense basée sur la vérification indépendante était percée, le système de séparation des permissions limiterait efficacement l’étendue des pertes. Grâce à cette stratégie de défense en profondeur, la perte de 1,5 milliard de dollars aurait pu être entièrement évitée.
La sécurité ressemble à une assurance. On n’en réalise l’importance qu’après une catastrophe.
Malheureusement, notre industrie a déjà payé un prix astronomique, mais cela nous donne aussi l’opportunité de repenser la sécurité dans les cryptomonnaies : la sécurité est un jeu asymétrique. L’attaquant n’a besoin que d’une faille, tandis que le défenseur doit protéger tous les points. Quand des milliards de dollars sont en jeu, les hackers les plus qualifiés, voire des attaquants étatiques aux ressources illimitées, peuvent passer des mois, voire des années, à étudier votre système pour trouver ce point unique de faiblesse.
C’est précisément pourquoi Cobo a développé la solution de co-signature Safe{Wallet}. Nous voulions résoudre un problème fondamental : comment éliminer les points de défaillance unique ? La réponse consiste à repenser entièrement le processus de vérification afin de mettre en place plusieurs couches de protection. Pour les institutions gérant de gros volumes d’actifs, la sécurité n’est jamais l’opposée de l’efficacité, mais sa condition préalable. Sans sécurité, l’efficacité n’a tout simplement aucun sens.
Cobo utilise en interne ce système depuis longtemps. Après une série d’incidents de sécurité, nous avons réalisé que ces bonnes pratiques ne devraient pas rester exclusivement entre nos mains, mais bénéficier à un plus grand nombre d’utilisateurs. C’est pourquoi nous les avons transformées en produit et proposons un essai gratuit de 30 jours. Nous espérons que cette solution non seulement protégera vos actifs, mais aussi, grâce à vos retours, continuera de s’améliorer pour renforcer davantage notre système de sécurité.
La sécurité n’est pas un investissement ponctuel, mais un processus continu d’évolution. À mesure que les menaces s’intensifient, les mesures de protection doivent elles aussi évoluer constamment. Seule une attention soutenue et une persévérance inébranlable permettent de faire face efficacement à un environnement de risque en perpétuel changement.
Si vous gérez de gros volumes d’actifs cryptographiques ou êtes un utilisateur à fort patrimoine, nous vous invitons à tester la solution de co-signature Cobo Safe{Wallet} et à partager avec nous votre expérience. Dans l’industrie des cryptomonnaies, la sécurité reste toujours la chose la plus importante.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














