Lorsque des voleurs ont dérobé une somme estimée à 190 millions de dollars à la société cryptographique américaine Nomad la semaine dernière, il s'agissait du septième piratage de 2022 à cibler un rouage de plus en plus important de la machine cryptographique : Les "ponts" de la blockchain - des chaînes de code qui aident à déplacer les pièces de crypto-monnaie entre différentes applications.

Depuis le début de l'année, les pirates ont volé des crypto-monnaies d'une valeur d'environ 1,2 milliard de dollars sur les ponts, selon les données de la société d'analyse de blockchain Elliptic, basée à Londres, ce qui représente déjà plus du double du total de l'année dernière.

"C'est une guerre où l'entreprise de cybersécurité ou le projet ne peut pas être gagnant", a déclaré Ronghui Hu, professeur d'informatique à l'Université Columbia de New York et cofondateur de l'entreprise de cybersécurité CertiK.

"Nous devons protéger tellement de projets. Pour eux (les pirates), lorsqu'ils examinent un projet et qu'il n'y a pas de bogue, ils peuvent simplement passer au suivant, jusqu'à ce qu'ils trouvent un point faible."

À l'heure actuelle, la plupart des jetons numériques fonctionnent sur leur propre blockchain unique, essentiellement un grand livre numérique public qui enregistre les transactions cryptographiques. Cela risque de cloisonner les projets utilisant ces pièces, réduisant ainsi leurs perspectives d'utilisation à grande échelle.

Les ponts blockchain visent à abattre ces murs. Ses partisans affirment qu'ils joueront un rôle fondamental dans le "Web3" - la vision très médiatisée d'un avenir numérique où la crypto-monnaie est intégrée à la vie et au commerce en ligne.

Pourtant, les ponts peuvent être le maillon le plus faible.

Le piratage de Nomad a été le huitième vol de crypto le plus important jamais enregistré. Parmi les autres vols commis sur des ponts cette année, citons un vol de 615 millions de dollars à Ronin, utilisé dans un jeu en ligne populaire, et un vol de 320 millions de dollars à Wormhole, utilisé dans des applications financières dites décentralisées.

"Les ponts de blockchain sont le terrain le plus fertile pour de nouvelles vulnérabilités", a déclaré Steve Bassi, cofondateur et PDG du détecteur de logiciels malveillants PolySwarm.

TALON D'ACHILLE

Nomad et d'autres entreprises qui fabriquent des logiciels de ponts blockchain ont attiré des soutiens.

Cinq jours seulement avant d'être piraté, Nomad, basé à San Francisco, a déclaré avoir levé 22,4 millions de dollars auprès d'investisseurs, dont la grande bourse Coinbase Global. Le PDG et cofondateur de Nomad, Pranay Mohan, a qualifié son modèle de sécurité d'"étalon-or".

Nomad n'a pas répondu aux demandes de commentaires.

L'entreprise a déclaré qu'elle travaillait avec les forces de l'ordre et une société d'analyse blockchain pour retrouver les fonds volés. À la fin de la semaine dernière, elle a annoncé une prime allant jusqu'à 10 % pour le retour des fonds piratés sur le pont. Elle a déclaré samedi qu'elle avait récupéré plus de 32 millions de dollars des fonds piratés jusqu'à présent.

"La chose la plus importante en crypto est la communauté, et notre objectif numéro un est de restaurer les fonds des utilisateurs piratés", a déclaré Mohan. "Nous traiterons toute partie qui restitue 90% ou plus des fonds exploités comme un white hats. Nous ne poursuivrons pas les white hats", a-t-il ajouté, faisant référence aux hackers dits éthiques.

Plusieurs experts en cybersécurité et en blockchain ont déclaré à Reuters que la complexité des ponts signifiait qu'ils pouvaient représenter un talon d'Achille pour les projets et les applications qui les utilisaient.

"Une des raisons pour lesquelles les pirates ont ciblé ces ponts inter-chaînes ces derniers temps est l'immense sophistication technique impliquée dans la création de ce type de services", a déclaré Ganesh Swami, PDG de la société de données blockchain Covalent à Vancouver, qui avait une certaine crypto stockée sur le pont de Nomad lorsqu'il a été piraté.

Par exemple, certains ponts créent des versions de crypto-monnaies qui les rendent compatibles avec différentes blockchains, en gardant les pièces originales en réserve. D'autres s'appuient sur des contrats intelligents, des accords complexes qui exécutent les transactions automatiquement.

Le code impliqué dans tous ces éléments peut contenir des bogues ou d'autres failles, laissant potentiellement la porte entrouverte aux pirates.

BUG BOUNTIES

Alors, quelle est la meilleure façon d'aborder le problème ?

Certains experts affirment que les audits des contrats intelligents pourraient aider à se prémunir contre les cyber-vols, ainsi que les programmes de "bug bounty" qui encouragent les révisions en libre accès du code des contrats intelligents.

D'autres appellent à une moindre concentration du contrôle des ponts par les entreprises individuelles, ce qui, selon eux, pourrait renforcer la résilience et la transparence du code.

"Les ponts inter-chaînes sont une cible attrayante pour les pirates parce qu'ils s'appuient souvent sur une infrastructure centralisée, dont la plupart verrouillent les actifs", a déclaré Victor Young, fondateur et architecte en chef de la société blockchain américaine Analog.