Les passerelles entre ‘blockchains’ se débattent contre les attaques cyber

Le hack du bridge Harmony le 24 juin a rappelé que la cybersécurité demeurait un enjeu majeur pour l’écosystème crypto. Butin des attaquants ? L’équivalent de près de 100 millions de dollars, ce qui place ce piratage sur le podium des plus importants ayant visé de telles infrastructures. Les deux premiers étant Poly Network, avec une perte estimée à 611 millions de dollars, le 10 août 2021, et Wormhole le 2 février 2022, un bridge entre les blockchains Solana et Ethereum, dont les pertes sont évaluées à 326 millions de dollars.

Pot de miel pour les hackers

Même s’il en existe de plusieurs sortes, un bridge est une passerelle qui permet de faire circuler les crypto-actifs d’une blockchain vers une autre. Pour l’utiliser, il faut y déposer ses jetons. La plupart du temps, le bridge en crée une copie compatible avec la blockchain demandée, précédée de la mention «W», pour wrapped. A titre d’exemple, si un utilisateur veut faire circuler du bitcoin via le réseau Ethereum, la représentation sera «WBTC».

«Ces infrastructures sont des points de centralisation pour de nombreux protocoles», explique Karolina Gorna, ingénieur cybersécurité blockchain chez KPMG, qui a dirigé l’étude «Cybersécurité pour les blockchains et les crypto» , parue le 15 juin dernier. Cette centralisation explique en partie les montants astronomiques des attaques. Les bridges sont donc une cible de choix pour les hackers. Les crypto-actifs y sont en effet laissés en séquestre jusqu’à ce que leurs copies, qui ont circulé sur les différentes blockchains, repassent par le bridge pour y être détruites – «burn» dans le jargon crypto.

L’autre explication est à aller chercher du côté du défi technique que représente la construction de telles infrastructures. «La création de certains ‘bridges’ nécessite parfois d’unir plusieurs langages [de code]», explique Karolina Gorna. Une complexité technique qui nécessite du temps, pas toujours en accord avec la demande croissante du secteur. «Pour différentes raisons, notamment financières et de saturation des demandes d’audits, certaines entreprises ‘blockchains’ ne font auditer que certaines fonctionnalités de leurs projets et pas la totalité. De plus, une bonne pratique est de réaliser plusieurs audits des mêmes fonctionnalités, ce qui est fait assez rarement. Tout cela peut s’avérer problématique en termes de sécurité», poursuit l’ingénieur cybersécurité blockchain.

Un marché toujours porteur

Le caractère irréversible des hacks est aussi un problème. «Un ‘bridge’ fera toujours ce qu’on lui dit de faire. Par conséquent, aucune loi ne pourra rendre l’argent volé dans l’immédiat», analyse le conseiller en sécurité blockchain Frédéric Ocana. En clair, impossible d’indemniser complètement les utilisateurs en cas de vol.

Malgré tous ces hacks, la promesse d’interopérabilité entre les blockchains permet au marché des bridges de continuer à susciter un fort intérêt, selon Michel Khazzaka, le fondateur de Valuechain, une société spécialisée dans le conseil en paiement et crypto-monnaies : «Imaginez le gain de temps et d’argent s’il est possible de faire circuler du bitcoin sur Ethereum sans être obligé de le convertir. Ou d’échanger des données entre projets qui ne sont pas hébergés sur la même ‘blockchain’. La promesse d’optimisation est énorme.»

Dans son étude, KPMG souligne le manque d’experts capables d’auditer les projets crypto et Web3. Une situation dont les Etats commencent à s’emparer : «De plus en plus de concours organisés par l’Anssi [Agence nationale de la sécurité des systèmes d’information] ou la DGSE intègrent des défis ‘blockchain’, qui seront de plus en plus nombreux dans le futur. Ce qui contribuera à la démocratisation du secteur», fait remarquer Karolina Gorna.