Introduction
Les victimes de piratages de cryptomonnaies se retrouvent souvent à nouveau victimes de sociétés de récupération peu scrupuleuses, déclare Harry Donnelly, PDG de Circuit. L’adoption des cryptomonnaies est en hausse, et un nombre croissant de personnes s’y intéressent. Cependant, malgré des années d’innovation, la crypto échoue encore à protéger certains de ses utilisateurs les plus vulnérables. Dans un incident récent, un retraité américain a perdu 3 millions de dollars en XRP après avoir compromis sans le savoir son portefeuille froid. Cet incident montre que la sécurité reste le principal problème dans le domaine de la crypto.
Interview avec Harry Donnelly
Pour cette raison, crypto.news a parlé à Harry Donnelly, PDG de la société de sécurité crypto Circuit. Il a expliqué pourquoi l’écosystème a perdu plus de 3 milliards de dollars à cause de piratages cette année seulement, et pourquoi la récupération est généralement très difficile.
Crypto.news : Nous avons récemment vu un incident de sécurité où un détenteur de portefeuille a perdu ses économies de toute une vie dans un piratage. Que nous dit cela sur la sécurité des actifs crypto ?
Harry Donnelly : Il s’agit de l’incident du portefeuille XRP : un prétendu retraité américain a perdu environ 3 millions de dollars en XRP, ses économies de retraite. ZacXBT en a parlé sur Twitter. La victime a déclaré qu’elle avait essayé de déposer un rapport de police mais n’a pas pu joindre les forces de l’ordre. Les fonds ont ensuite été blanchis à travers environ 120 transactions. Nous n’avons pas de confirmation complète du vecteur exact car la victime n’est pas familiarisée avec la crypto ; sans accès à son ordinateur portable pour retracer les étapes, il est difficile d’être certain. Mais des cas comme celui-ci impliquent souvent des logiciels malveillants qui scannent un appareil à la recherche de phrases de récupération et d’autres secrets. Dans ce cas, la personne pensait avoir un portefeuille froid — acheté chez Ellipal — mais elle a importé la phrase de récupération sur son ordinateur portable. Cela contredit le stockage à froid : une fois que la phrase de récupération existe sur une machine connectée à Internet, la protection du portefeuille matériel est effectivement perdue.
CN : ZacXBT a déclaré que de nombreuses sociétés de récupération sont douteuses. Quel est votre avis ?
HD : Tout à fait juste. Lorsque les gens sont désespérés, des acteurs malveillants en profitent. Les pires acteurs optimisent souvent leur référencement pour apparaître en premier lorsque quelqu’un recherche frénétiquement « récupérer des crypto volées ». La récupération légitime est difficile. La crypto est un actif de porteur : la possession de la clé équivaut à la propriété. Vous ne pouvez pas appeler une banque et annuler un transfert sur la chaîne. Les véritables sociétés de récupération sont généralement des entreprises légales qui travaillent avec les forces de l’ordre, utilisent des outils d’analyse de blockchain comme Chainalysis ou TRM Labs, suivent les fonds et essaient de faire geler les comptes des échanges avec des avis légaux. Mais cela ne fonctionne que si les fonds atteignent un échange KYC prêt et capable de coopérer et si la juridiction est coopérative. Les attaquants routent souvent les fonds vers des échanges non coopératifs ou des services de mélange ; l’année dernière, moins de 5 % des actifs ont été récupérés par ces méthodes. Les sociétés prédatrices facturent des frais exorbitants pour des analyses de base et produisent un rapport qui donne de fausses informations aux victimes. Par exemple, elles leur disent d’envoyer un e-mail à Tornado Cash, ce qui est inutile.
CN : Il semble donc que la récupération soit peu probable. Quelle est l’alternative ?
HD : Étant donné que les probabilités de récupération sont faibles, la prévention est essentielle. Circuit se concentre sur la prévention des pertes plutôt que de compter sur la récupération après un piratage. Une fois que les fonds quittent un portefeuille, les chances de récupération sont minces ; empêcher le vol avant qu’il ne se produise a une probabilité de succès beaucoup plus élevée. Il existe deux modes de perte : (1) vous perdez l’accès à votre clé privée (les fonds sont inaccessibles) ou (2) quelqu’un d’autre obtient votre clé privée (les fonds sont volés). Circuit aborde les deux en protégeant directement les actifs plutôt qu’en protégeant uniquement la clé. Nous construisons ce que nous appelons l’extraction automatique d’actifs. Au lieu de simplement protéger une clé privée, nous pré-créons des transactions signées qui déplacent des fonds vers un portefeuille de sauvegarde prédéfini. Ces transactions sont créées à l’avance, cryptées et stockées — jamais diffusées à moins que l’utilisateur légitime ne les déclenche.
CN : Alors, qui contrôle ce gros bouton rouge ?
HD : L’utilisateur le contrôle. Il se connecte à notre application web, vérifie son identité en utilisant 2FA, et appuie sur le bouton. Cela déchiffre et diffuse la transaction, et les fonds sont transférés vers le portefeuille de sauvegarde. Nous stockons la transaction pré-signée, cryptée, mais l’utilisateur est le seul à pouvoir la déchiffrer et la déclencher. Il définit l’adresse de destination à l’avance, et nous ne pouvons pas changer cette adresse. Une fois signée, elle est verrouillée. Notre système la conserve simplement en toute sécurité et permet à l’utilisateur de la déclencher en cas de besoin.
CN : Qui utilise ce service en ce moment ?
HD : Pour l’instant, ce sont toutes des institutions et des entreprises. Nous ne servons pas encore les utilisateurs de détail. Nos partenaires sont des échanges, des gestionnaires d’actifs, des bureaux de gré à gré. Ce sont des personnes qui gèrent de grosses sommes et des actifs de clients. Pour eux, un temps d’arrêt ou une perte d’accès peut être catastrophique. Un exemple est Shift Markets. Nous déployons notre technologie sur 150 échanges avec lesquels ils travaillent. Ces échanges ne peuvent pas se permettre de perdre l’accès aux fonds, même pendant quelques heures. Pour les institutions, il ne s’agit pas seulement de prévenir le vol. Parfois, quelqu’un égare un dispositif de signature, ou un service comme Fireblocks tombe en panne. Cela peut arrêter toutes les opérations — pas de dépôts, pas de retraits. Avec Circuit, ils peuvent récupérer en quelques minutes au lieu d’être à l’arrêt pendant des jours. Et pour eux, cela peut signifier sauver leur réputation — et des millions en fidélisation de clients.
CN : Et comment les utilisateurs choisissent-ils leurs portefeuilles de sauvegarde ? Cela devrait-il être un autre portefeuille matériel, un compte d’échange ou un dépositaire ?
HD : Excellente question. Nous recommandons que le portefeuille de sauvegarde soit tout aussi sécurisé que le principal. Cela signifie donc utiliser différents fournisseurs de portefeuilles, stocker les clés à différents endroits et s’assurer que l’infrastructure n’est pas co-localisée. Vous ne voulez pas que les deux ensembles de clés soient dans le même coffre ou serveur. De plus, nous appliquons des approbations de quorum — politiques à 4 yeux ou 6 yeux — pour éviter tout point de défaillance unique. La plupart des grandes institutions fonctionnent déjà de cette manière. Certaines utilisent différentes configurations MPC ou multisig pour les portefeuilles principaux et de sauvegarde. D’autres utilisent différentes installations sécurisées ou même différentes juridictions. L’idée est : si un désastre frappe un système, l’autre est indemne. Nous travaillons également avec de grandes compagnies d’assurance, et elles reconnaissent cela comme un réducteur de risque. Beaucoup de réclamations d’assurance crypto concernent l’accès perdu ou les fonds volés. En ajoutant la technologie de Circuit, les entreprises deviennent un risque plus faible. Ainsi, les fournisseurs d’assurance offrent des réductions aux clients qui nous utilisent. Cela rend l’assurance plus accessible et, à son tour, attire plus de capitaux institutionnels dans la crypto.
CN : Avez-vous déjà eu des cas où quelqu’un a dû utiliser le bouton rouge ?
HD : Oui, nous avons utilisé le bouton rouge, à la fois dans des cas réels et dans des tests contrôlés. Nous avons même donné intentionnellement accès à des attaquants dans des environnements de simulation ou de white-hat pour essayer de voler les fonds. Chaque fois, cela a tenu bon. Notre équipe d’ingénierie a travaillé dur pour s’assurer que nous avons couvert les cas limites et les menaces du monde réel. Nous travaillons avec certains des plus grands acteurs du secteur qui l’ont testé de manière indépendante. Nous aurons une annonce publique dans le mois ou deux à venir présentant certaines de ces validations.
CN : Et pour les institutions, quel est le scénario d’échec typique ?
HD : Cela dépend de leur configuration de portefeuille. S’ils utilisent des services non-custodiaux comme Fireblocks, l’institution porte une certaine responsabilité — elle doit pouvoir accéder à ses portefeuilles même si Fireblocks est en panne ou indisponible. S’ils utilisent des solutions entièrement custodiales comme Coinbase ou Anchorage, ces fournisseurs gèrent tout de bout en bout. Mais avec Fireblocks, vous avez toujours besoin de votre propre accès sécurisé aux fragments de clé ou aux dispositifs de signature. Donc imaginez un échange qui dépend de Fireblocks, et ils perdent un dispositif — peut-être le téléphone de quelqu’un ou un YubiKey. Cela peut temporairement les verrouiller, arrêtant les retraits et les dépôts.
CN : Vous avez mentionné plus tôt que les attaquants deviennent de plus en plus sophistiqués. Quelle est votre perspective sur la façon dont l’industrie de la crypto s’adapte à cela ? Qu’est-ce qui change en matière de sécurité ?
HD : C’est similaire à la cybersécurité Web2 ; c’est un jeu du chat et de la souris. De nouvelles attaques émergent, nous construisons des défenses, les attaquants évoluent à nouveau, et ainsi de suite. Au début, la grande avancée était le multisig, nécessitant plusieurs clés pour approuver les transactions. Puis sont venus les portefeuilles MPC (calcul multipartite), qui améliorent le multisig. Dans une configuration multisig, compromettre deux des trois clés vous donne des informations partielles sur la troisième. Dans MPC, ce n’est pas le cas car chaque fragment ne vous donne aucune information sur l’ensemble, ce qui le rend plus résilient. Des entreprises comme Fireblocks ont eu beaucoup de succès avec MPC. Ensuite, sont apparus les moteurs de politique — des règles qui bloquent les transactions dans certaines conditions. Par exemple : « bloquer tous les transferts de plus de 1 million de dollars », ou « ne pas autoriser les transferts vers des adresses non blanches ». Puis sont venus les outils de détection, qui sont des services qui surveillent l’activité de la chaîne et signalent un comportement suspect. Mais aujourd’hui, la plupart d’entre eux nécessitent encore qu’un humain agisse sur l’alerte. Dans certaines configurations, vous pourriez avoir besoin d’approbations de personnes aux États-Unis, en Europe et en Asie, ce qui pourrait prendre des heures. Pendant ce temps, les attaques se produisent en quelques minutes, voire en quelques secondes. Nous avons vu cela dans le piratage de SwissBorg/Kiln : 41 millions de dollars disparus en trois minutes. Les humains ne réagissent tout simplement pas aussi vite.
CN : Lorsque les échanges centralisés gèlent des fonds volés, les gens comprennent généralement. Mais lorsque les protocoles DeFi gèlent des portefeuilles ou mettent en pause des contrats intelligents, il y a souvent des critiques concernant la centralisation. Quel est votre avis là-dessus ?
HD : Écoutez, en fin de compte, je pense que si vous pouvez empêcher le vol de dizaines ou de centaines de millions de dollars, et que ce qu’il faut, c’est arrêter un contrat intelligent pendant quelques heures, alors je pense que vous devriez le faire. Je sais qu’il y a de très grands partisans de la décentralisation, mais la décentralisation ne va pas s’imposer si les gens ne l’adoptent pas. Et les gens ne vont pas l’adopter s’ils risquent de perdre tous leurs fonds. À la fin de la journée, je pense que c’est aussi simple que cela. Si vous croyez vraiment en cela et que vous voulez qu’il soit adopté par le grand public — par de véritables entreprises, de véritables institutions — elles devront avoir confiance en cela. Et pour tous les partisans qui disent « laissez-le être piraté », ou « le code est la loi », je pense que le problème est que cela va fondamentalement stopper la croissance de l’espace autant que nous aimerions qu’il croisse. Et je pense qu’il y a deux domaines que vous allez voir. Vous aurez des pools et des protocoles qui vont simplement continuer à faire les choses comme ils le font — juste laisser les choses se dérouler. Et ensuite, vous aurez une infrastructure plus axée sur les institutions et les entreprises, où ils ont des sauvegardes, où ils ont des mesures de sécurité, et où il y a une assurance intégrée dans les pools. Cela se produit déjà. Et c’est dans ces pools que vous allez voir beaucoup plus de liquidités déposées, car c’est là que le véritable capital — les institutions — se sentent en confiance pour placer leurs fonds. Et quand vous pensez à quel est le plus grand effet de réseau dans DeFi, beaucoup en dépend de la liquidité. Donc, si vous regardez où beaucoup de liquidités vont aller, au fil du temps, cela devrait se déplacer vers les endroits qui ont des mesures de sécurité et des vérifications en place — car cela donne aux gens plus de confiance.
CN : Mais quelqu’un pourrait dire que si un protocole a la capacité de geler des portefeuilles ou de mettre en pause des contrats intelligents, n’a-t-il pas aussi la capacité de vider le pool ? Quel est votre avis là-dessus ?
HD : Oui, et je pense que c’est un point juste. Si quelqu’un a la capacité de le mettre en pause et de mettre en place des mesures de sécurité, cela signifie-t-il également qu’il peut faire ce qu’il veut avec les fonds ? Je pense que la beauté des contrats intelligents — si vous les faites correctement — est qu’ils sont immuables et transparents. Vous pouvez définir des paramètres stricts à l’avance. Vous pouvez coder les règles : quand cela doit-il être mis en pause, pourquoi cela doit-il être mis en pause, et que se passe-t-il avec les fonds après ? Sont-ils déplacés ? Si oui, où ? Peuvent-ils seulement être déplacés vers un endroit spécifique ? Après la pause, sont-ils retournés ? Tout cela peut être codé. Cela ne doit pas être discrétionnaire. Donc oui, si vous donnez aux gens le contrôle total pour faire ce qu’ils veulent, ce n’est pas génial. Les gens ne voudront pas déposer des fonds dans ces protocoles. Mais s’il y a des paramètres strictement définis sur ce qui est possible — et qu’une partie de cela inclut le gel ou la pause en cas d’urgence — alors cela donne en fait plus de confiance aux gens. Parce que même les plus grands protocoles — comme Euler, qui avait un énorme TVL — ont été piratés. Et ils avaient passé plusieurs audits, revues de code, tout ça. Mais il y avait toujours une petite vulnérabilité que quelqu’un a pu exploiter. Nous nous améliorons pour détecter ces choses, mais de nouveaux problèmes surgiront toujours. Et comme vous l’avez dit, c’est un jeu du chat et de la souris. Vous construisez une défense, puis quelqu’un trouve une nouvelle attaque. Ensuite, vous construisez une nouvelle défense, et ainsi de suite.
CN : Y a-t-il quelque chose à laquelle vous pensez ces derniers temps que vous pensez que l’industrie néglige ?
HD : L’une des choses sur lesquelles nous passons beaucoup de temps en interne est d’essayer de rendre l’assurance crypto réellement accessible — parce que quand vous revenez à ce dont nous avons parlé, n’est-ce pas ? Il y aura toujours de nouvelles attaques, puis les gens construiront de nouvelles défenses. Mais quelque chose doit combler cette lacune en attendant. Je pense que l’assurance DeFi — comme ce que Nexus Mutual essayait de faire — n’a pas vraiment évolué comme les gens l’espéraient. Et une grande partie de cela est due au fait que pour offrir une assurance significative, vous avez besoin d’énormes pools de capital derrière elle. C’est juste comme ça que fonctionne l’assurance. Le monde de l’assurance traditionnel a déjà des milliards de dollars assis dans des réserves. Ils savent comment souscrire des risques. Si nous pouvons amener ces acteurs dans l’espace crypto — et leur donner confiance dans la façon dont les risques sont atténués — alors nous débloquons quelque chose de vraiment grand. Parce que la vérité est que, si nous voulons que de grandes banques ou de sérieuses institutions financières s’impliquent dans DeFi et la finance sur chaîne, elles auront besoin d’assurance. Point final. Donc, si nous pouvons permettre cela — si nous pouvons donner aux assureurs traditionnels les outils et les données dont ils ont besoin pour évaluer les risques et réellement offrir une couverture — alors soudain, vous avez beaucoup plus de capital qui est à l’aise pour entrer dans l’espace. Et quand cela se produit, tout grandit. Les protocoles se développent, l’infrastructure mûrit, les utilisateurs en bénéficient. Donc oui — je pense que débloquer une véritable assurance crypto est l’une des choses les plus importantes que nous puissions faire en ce moment.
