Lorsque la première crypto-monnaie, Bitcoin, a été proposée en 2008, l’objectif était simple: créer une monnaie numérique exempte de banques et de gouvernements. Au fil du temps, cette idée est devenue quelque chose de beaucoup plus grand: «finance décentralisée» ou «Defi».
Avec des finances décentralisées, les gens échangent, empruntent et gagnent des intérêts sur les actifs cryptographiques sans compter sur les intermédiaires traditionnels. Les services Defi fonctionnent sur des blockchains, qui sont essentiellement des livres numériques et utilisent des «contrats intelligents» – un code auto-exécutant qui automatise les transactions financières. Des dizaines de milliards de dollars ont versé sur le marché Defi.
Mais avec l’innovation vient des risques. L’absence de surveillance centralisée a fait de la crypto, notamment des finances décentralisées, une cible de choix pour les pirates et les escrocs. Rien qu’en 2024, les gens ont perdu près de 1,5 milliard de dollars en raison des exploits de sécurité et de la fraude. Et contrairement aux finances traditionnelles, il n’y a généralement aucun moyen de récupérer la crypto volée.
En tant que informaticien, je voulais mieux comprendre comment les gens perçoivent et répondent à ces risques. Donc, mes collègues et moi avons d’abord mené des entretiens approfondis avec 14 investisseurs de cryptographie, puis interrogé près de 500 autres pour valider nos résultats.
Notre étude a révélé que les gens ont souvent commis les mêmes erreurs, motivées par des idées fausses et des lacunes récurrentes dans la sensibilisation à la sécurité. Voici quelques-uns des plus importants.
Erreur 1: penser que la blockchain garantit la sécurité
Beaucoup de gens nous ont dit qu’ils pensaient que la finance décentralisée était sûre – mais leur raisonnement n’était pas très convaincant. Certains semblaient confondre les finances décentralisées avec la technologie de la blockchain elle-même, qui est conçue pour garantir que les transactions sont résintives grâce à des «mécanismes consensus». L’une nous a dit que Defi est sécurisé «parce qu’un pirate devrait remplacer une blockchain entière» pour voler des fonds.
Mais les services sur la blockchain sont toujours vulnérables à la mise en œuvre et à la conception de défauts. Il s’agit notamment des violations de contrats intelligents, dans lesquels les méchants exploitent des bogues dans le code d’un service et des attaques frontales, où une interface utilisateur est modifiée pour rediriger les fonds en portefeuille d’un pirate. Une attaque frontale aurait été responsable pour un récent braquage de cryptographie de 1,5 milliard de dollars.
Erreur 2: Penser que les clés sûres signifient des fonds sûrs
Une autre idée fausse commune est que Defi est sécurisé si les clés privées sont bien stockées. Une clé privée est un code secret qui permet à quelqu’un d’accéder à ses actifs cryptographiques. Il est vrai que dans Defi – contrairement à la finance cryptographique centralisée où un échange détient des clés privées – les utilisateurs ont un contrôle total sur leurs propres clés privées.
Mais même avec une gestion de clé privée parfaite, les utilisateurs peuvent toujours perdre des fonds en interagissant avec des plates-formes Defi compromises. En effet
Les personnes avec qui nous avons parlé n’ont pas non plus suivi les meilleures pratiques pour assurer leurs clés privées. L’utilisation d’un portefeuille matériel – un appareil physique qui stocke les clés privées hors ligne – est l’une des options les plus sécurisées pour protéger les clés contre les menaces en ligne. Cependant, notre étude a révélé que seule une poignée de participants utilisaient réellement des portefeuilles matériels.
Erreur 3: Penser l’authentification à 2 facteurs est une solution miracle
L’authentification à deux facteurs, ou 2FA, est un mécanisme de sécurité standard dans lequel deux formes de vérification sont nécessaires pour accéder à un compte. Pensez avoir envoyé un SMS un code ponctuel avant de pouvoir vous connecter à votre compte bancaire.
Pour éviter les violations de compte, les échanges de crypto-centralisés tels que la binance et la base utilisent l’authentification à deux facteurs pour les connexions, la récupération du compte et les confirmations de retrait. Mais alors que 2FA est crucial pour la sécurité dans le système de financement cryptographique traditionnel et centralisé, il joue un rôle beaucoup plus petit dans la finance décentralisée.
Les portefeuilles Defi donnent aux utilisateurs un accès basé sur la propriété privée plutôt que sur la vérification de l’identité, ce qui signifie que le 2FA traditionnel ne peut pas être utilisé. Au lieu de cela, seuls des mécanismes de type 2FA sont disponibles dans Defi. Par exemple, les portefeuilles multipsines nécessitent l’approbation de plusieurs détenteurs de clés privés. Cependant, si votre clé privée est compromise, les attaquants peuvent effectuer des opérations de portefeuille en votre nom sans aucune vérification supplémentaire. De plus, même les utilisateurs qui adoptent des mesures de type 2FA ne peuvent pas empêcher les violations de sécurité du côté des services Defi.
Malheureusement, nos participants étaient trop confiants concernant l’efficacité du 2FA, l’un disant: «L’authentification à deux facteurs a été l’une des meilleures solutions pour assurer la sécurité des portefeuilles.» Dans notre enquête, 57,1% des utilisateurs se sont appuyés sur le 2FA comme leur seule contre-mesure technique contre les tirages de tapis – des escroqueries où les créateurs de projets retirent soudainement des fonds – et 49,3% l’ont fait pour les exploits de contrats intelligents. Cette fiducie mal placée pourrait les conduire à ignorer des stratégies de sécurité plus efficaces.
Erreur 4: ne pas gérer les approbations de jetons
Une telle stratégie efficace consiste à révoquer les approbations de jetons. Dans Defi, les jetons sont des actifs numériques sur une blockchain qui représentent la valeur ou les droits, et les utilisateurs doivent souvent approuver les contrats intelligents pour les accéder ou les dépenser. Mais si vous laissez ces approbations ouvertes, un contrat malveillant – ou un contrat qui a été piraté – peut vider votre portefeuille. Il est donc crucial de vérifier régulièrement toutes les approbations de jetons que vous avez accordées pour empêcher les pertes causées par des services Defi frauduleux ou piratés. Plus précisément, vous devez limiter les allocations de dépenses au lieu d’utiliser l’option «illimitée» par défaut et révoquer les approbations pour les applications que vous n’utilisez plus ou ne faites plus confiance.
Inquiétude, nous avons constaté que seulement 10,8% et 16,3% des participants vérifiaient et révoquaient régulièrement des approbations de jetons pour protéger contre les tractions de tapis et les exploits de contrats intelligents, respectivement. À la lumière de cela, nous recommandons que les fournisseurs de portefeuille introduisent une fonctionnalité de rappel pour inciter les utilisateurs à examiner périodiquement leurs approbations de jetons.
Erreur 5: ne pas apprendre des incidents passés
Même après avoir été piratés ou arnaqués, les gens ne font souvent rien pour améliorer leurs pratiques de sécurité, nous avons trouvé. Seulement 17,6% de ceux qui ont déclaré avoir été victimes d’une escroquerie Defi régulièrement vérifiée par la suite. Pire, 26% n’ont pris aucune mesure après une arnaque et 16,4% ont doublé en investissant encore plus dans d’autres services Defi.
Étonnamment, plus de la moitié des victimes ont déclaré que leur croyance en Defi est restée la même ou était devenue plus forte après l’incident. Un utilisateur qui a perdu 4 700 $ en raison d’un incident de rug-pull a déclaré: “Ma croyance en la crypto-monnaie est devenue plus forte après cela parce que j’en ai fait beaucoup d’argent.” Cette personne a ajouté: «Une occasion de gagner de l’argent est quelque chose en laquelle je crois.» Cela suggère que les motivations financières des utilisateurs Defi peuvent parfois l’emporter sur leurs problèmes de sécurité – et, peut-être, leur meilleur jugement.
Il n’y a pas de solution unique pour définir la sécurité. Mais la conscience est la première étape. Pour rester en sécurité, les investisseurs cryptographiques devraient utiliser des portefeuilles matériels, révoquer les approbations de jetons inutilisés et apprendre continuellement de nouvelles techniques pour se protéger contre l’évolution des menaces. Plus important encore, ils devraient rester rationnels et ne pas laisser l’attrait des bénéfices assombrir leurs pratiques de sécurité.
