Interview exclusif avec le fondateur de CertiK : les attaques de hackers en hausse de 300 %, la voie de la sécurité en priorité pour sortir de l'impasse
TechFlow SélectionTechFlow Sélection
Interview exclusif avec le fondateur de CertiK : les attaques de hackers en hausse de 300 %, la voie de la sécurité en priorité pour sortir de l'impasse
Le PDG de CertiK explique en détail les menaces pesant sur la sécurité de la blockchain et les moyens de s'en prémunir.
Dédié à des analyses Web3 approfondiesRédaction : Monica Younsoo Chung, IT Times
Le 17 avril, le célèbre média technologique sud-coréen Korea IT Times a publié une interview exclusive du professeur Gu Ronghui, cofondateur et PDG de CertiK. L'entretien portait sur le rapport de sécurité trimestriel « HACK3D » de CertiK, explorant en profondeur l'évolution des tactiques de piratage ainsi que les voies d'innovation en matière de défense numérique.
Gu Ronghui considère la sécurité non pas comme une mesure corrective ex post, mais comme un principe fondamental devant être intégré dès le lancement d’un projet. « Une stratégie proactive basée sur la priorité à la sécurité est essentielle pour établir des applications Web3.0 dignes de confiance », affirme-t-il. Plus précisément, il préconise l'utilisation proactive de technologies de pointe telles que la vérification formelle, les preuves à divulgation nulle de connaissance (ZKP) et le calcul multipartite sécurisé (MPC), afin de renforcer globalement la protection des protocoles blockchain et des contrats intelligents. C’est précisément cette vision qui a motivé la création de CertiK : rendre le monde Web3.0 plus sûr et plus fiable grâce à une rigueur mathématique vérifiable.
Cet engagement durable envers la sécurité ne résulte pas d'une simple tendance du marché, mais découle d’une quête technologique longue et constante menée par Gu Ronghui. Depuis ses études doctorales à Yale, où il a contribué au développement du système CertiKOS salué par Google comme « invulnérable », jusqu’à aujourd’hui où il protège plus de 530 milliards de dollars d’actifs numériques, il s’efforce sans relâche de renforcer la sécurité sectorielle et la confiance collective.
Gu Ronghui a souvent affirmé que la sécurité n’est pas un avantage concurrentiel, mais une responsabilité partagée. Il transforme les découvertes académiques de laboratoire en pratiques concrètes de sécurité opérationnelles, tout en incarnant ce principe de responsabilité commune dans la collaboration inter-entreprises. Ce leader technologique, sorti des plus prestigieuses institutions universitaires, ancre aujourd’hui, grâce à la logique mathématique vérifiable, les repères de la sécurité à l’ère Web3.0 face à l’incertitude croissante des cyberattaques.
Dans le domaine en pleine expansion du Web3.0, la sécurité blockchain est devenue primordiale. Cet article met en lumière la mission de CertiK, dirigée par son cofondateur, professeur de science informatique à l’Université Columbia, dont l’objectif est de renforcer de manière exhaustive la sécurité de l’écosystème blockchain. Grâce à la vérification formelle, CertiK s’est imposé comme un leader incontesté de la sécurité Web3.0.
Le Korea IT Times analyse en détail le rapport « Hack3d : Rapport de Sécurité du Premier Trimestre 2025 » publié par CertiK, révélant de nouvelles tendances en matière de vols d’actifs numériques et de menaces sécuritaires. L'article examine également les technologies émergentes telles que les preuves à divulgation nulle de connaissance et le calcul multipartite sécurisé, prodiguant des conseils pratiques aux développeurs blockchain, tout en explorant le rôle double de l’intelligence artificielle (IA) dans le domaine de la sécurité. Alors que les institutions financières traditionnelles s’aventurent progressivement sur la blockchain, les défis sécuritaires s’intensifient. Des mesures proactives sont désormais cruciales pour protéger les utilisateurs et préserver l’intégrité de l’écosystème. Cet article vise à fournir aux professionnels des perspectives clés leur permettant d’avancer avec assurance dans l’environnement complexe de la sécurité blockchain.
Question : Pourriez-vous vous présenter brièvement, ainsi que la mission fondamentale de CertiK ?
Réponse : Je suis cofondateur et PDG de CertiK, ainsi que professeur à l’Université Columbia. Ma personne et CertiK partageons une mission commune : renforcer la sécurité de l’écosystème Web3.0.
Fondé en 2017, CertiK repose sur un concept central : utiliser la vérification formelle pour surveiller et renforcer continuellement la sécurité des protocoles blockchain et des contrats intelligents, garantissant ainsi leur bon fonctionnement et leur fiabilité. Nous combinons des solutions innovantes issues du milieu académique et du secteur privé pour permettre aux applications Web3.0 de se développer durablement tout en assurant la sécurité. À ce jour, nous avons accompagné plus de 4 900 entreprises, protégé plus de 530 milliards de dollars d’actifs numériques et identifié plus de 115 000 vulnérabilités dans le code.
Question : CertiK a récemment publié le « Hack3d : Rapport de Sécurité du Premier Trimestre 2025 ». Quelles sont les principales conclusions ?
Réponse : Au premier trimestre 2025, les pertes dues aux fraudes sur la chaîne ont atteint environ 1,66 milliard de dollars, soit une augmentation spectaculaire de 303 % par rapport au trimestre précédent. Cette hausse est principalement due au piratage de l’exchange Bybit fin février, lors duquel les pirates ont dérobé environ 1,4 milliard de dollars. Comme lors des trimestres précédents, Ethereum a été la cible principale : trois incidents de sécurité y ont entraîné une perte d’actifs de 1,54 milliard de dollars. Plus alarmant encore, seulement 0,38 % des actifs volés ont pu être récupérés durant ce trimestre.
Question : Par rapport aux trimestres précédents, les cibles principales des attaques blockchain ont-elles changé ?
Réponse : La tendance du premier trimestre 2025 prolonge celle observée fin 2024 : Ethereum reste la plateforme la plus visée. Alors que 99 incidents de sécurité ont été recensés sur Ethereum au quatrième trimestre 2024, on en compte 93 au premier trimestre 2025. Ce phénomène persiste : tout au long de l’année 2024, les projets basés sur Ethereum ont subi le plus grand nombre d’incidents ; et cette situation semble se poursuivre en 2025.
L’attaque contre Bybit en est un exemple emblématique : le portefeuille Safe-Wallet, construit sur l’écosystème Ethereum, a été compromis, entraînant de lourdes pertes. La raison pour laquelle Ethereum attire tant d’attaques réside dans la multitude de ses protocoles DeFi et le volume massif d’actifs verrouillés. Par ailleurs, de nombreux contrats intelligents sur Ethereum présentent des failles exploitables.
Question : Face à des méthodes d’attaque de plus en plus sophistiquées, comment l’industrie de la sécurité blockchain peut-elle réagir ?
Réponse : Les attaquants recourent de plus en plus à des stratégies complexes combinant ingénierie sociale, intelligence artificielle et manipulation de contrats intelligents pour contourner les mécanismes de sécurité existants. Avec l’essor de l’utilisation et de la valorisation des actifs numériques, le secteur doit s’adapter à cette nouvelle donne afin de préserver l’intégrité des projets et la sécurité des utilisateurs.
L’industrie répond activement à ces défis en développant des technologies innovantes telles que les preuves à divulgation nulle de connaissance (ZKP) et la sécurité on-chain. Ces solutions offrent des perspectives prometteuses pour faire face à des problèmes de sécurité de plus en plus critiques, en permettant notamment de préserver la confidentialité tout en assurant l’auditabilité des transactions, la traçabilité des attaques et la possibilité de recouvrement des actifs. Le calcul multipartite sécurisé (MPC) renforce quant à lui la gestion des clés en répartissant le contrôle de la clé privée entre plusieurs parties, éliminant ainsi le risque de point de défaillance unique et rendant nettement plus difficile l’accès non autorisé aux portefeuilles. L’évolution continue de ces technologies jouera un rôle crucial dans la lutte contre les hackers et dans la préservation de l’intégrité des écosystèmes décentralisés.
Question : Quels conseils pouvez-vous donner aux développeurs blockchain et aux équipes de projet en matière de sécurité ?
Réponse : Placer la sécurité en priorité absolue dès le départ doit être un principe non négociable. Intégrer la sécurité à chaque étape du développement, plutôt que d’y remédier après coup, permet de détecter précocement les vulnérabilités potentielles, économisant ainsi temps et ressources à long terme. Cette approche proactive « Security First » est fondamentale pour bâtir des applications Web3.0 fiables. L’intégration de la sécurité dans tout le cycle de développement permet d’identifier les failles tôt et de réduire significativement les coûts de correction ultérieurs.
En outre, solliciter un audit tiers complet et impartial de la part d’un organisme spécialisé en sécurité blockchain apporte une perspective externe essentielle, capable de repérer des risques potentiels que l’équipe interne pourrait négliger. Ces évaluations externes constituent une étape critique de validation, aidant à identifier et corriger rapidement les vulnérabilités, renforçant ainsi la sécurité globale du projet et consolidant davantage la confiance des utilisateurs.
Question : Quel rôle joue l’IA dans la sécurité blockchain ? Est-ce une influence positive ou une source de nouveaux risques ?
Réponse : L’IA est un outil clé au sein de l’architecture de sécurité de CertiK, et elle fait désormais partie intégrante de notre stratégie centrale de protection des systèmes blockchain. CertiK utilise l’IA pour analyser les vulnérabilités et les défauts de sécurité potentiels dans les contrats intelligents, ce qui nous permet d’effectuer des audits complets de manière bien plus efficace qu’auparavant. Toutefois, elle ne remplace pas l’équipe d’experts humains chargés de l’audit.
Cependant, les attaquants peuvent eux aussi exploiter l’IA pour renforcer leurs capacités offensives. Par exemple, l’IA peut être utilisée pour détecter automatiquement des faiblesses dans le code, contourner les mécanismes de consensus ou percer les systèmes de défense. Cela signifie que le niveau de compétition en cybersécurité monte d’un cran. À mesure que l’IA devient omniprésente, le secteur doit impérativement investir dans des solutions de sécurité encore plus robustes.
Question : Qu’est-ce que la vérification formelle ? Comment améliore-t-elle l’efficacité de l’audit blockchain ?
Réponse : La vérification formelle est une méthode qui utilise des techniques mathématiques pour prouver rigoureusement qu’un programme informatique fonctionne conformément à ses spécifications. Elle consiste à exprimer les propriétés du programme sous forme de formules mathématiques, puis à les vérifier à l’aide d’outils automatisés.
Cette technologie trouve des applications dans divers domaines de l’industrie technologique, notamment la conception matérielle, le génie logiciel, la cybersécurité, l’intelligence artificielle et l’audit de contrats intelligents. Toutefois, il est essentiel de souligner que la vérification formelle ne vise pas à remplacer l’audit humain. Dans le cas des contrats intelligents, la vérification formelle s’appuie sur des méthodes automatisées pour évaluer la logique et le comportement du contrat, tandis que l’audit humain consiste en un examen approfondi du code, de la conception et du déploiement par des experts en sécurité afin d’identifier les risques potentiels. Ces deux approches sont complémentaires et renforcent conjointement la sécurité globale des contrats intelligents.
Question : Avec l’entrée des institutions financières traditionnelles dans l’univers blockchain, pensez-vous que le type ou le niveau de complexité des menaces sécuritaires va changer ?
Réponse : Aux débuts du Web3.0 et de l’industrie blockchain, les attaquants ciblaient principalement des utilisateurs individuels ou de petits projets, via des attaques de phishing, des RugPulls ou l’exploitation de vulnérabilités de portefeuilles. Selon notre rapport « Hack3d – Premier Trimestre 2025 », ces menaces persistent encore aujourd’hui. Toutefois, avec l’arrivée des institutions traditionnelles et des grandes entreprises, les risques liés à l’intégrité du réseau entrent dans une nouvelle phase. Ce changement s’explique non seulement par l’augmentation massive du volume d’actifs gérés, mais aussi par les besoins spécifiques en matière de sécurité des applications d’entreprise, les exigences réglementaires, ainsi que par l’intégration profonde entre la blockchain et les systèmes financiers traditionnels.
La plupart des institutions traditionnelles ayant déjà une expérience avérée dans la gestion des menaces cybernétiques, nous anticipons que les acteurs malveillants adapteront également la sophistication de leurs attaques. Elles évolueront probablement vers des cibles plus spécifiques, passant des vulnérabilités générales de portefeuilles à des faiblesses propres aux entreprises, telles que des erreurs de configuration, des failles dans des contrats intelligents personnalisés, ou encore des défauts de sécurité dans les interfaces d’intégration avec les systèmes traditionnels.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
