Cybersécurité dans Web3 : Comment sauter dans le train en marche en toute sécurité

J'ai récemment découvert un nouveau rapport de Forrester disant que "les applications Web3 (y compris les NFT) ne sont pas seulement vulnérables aux attaques, elles présentent souvent une surface d'attaque plus large (en raison de la nature distribuée des blockchains) que les applications conventionnelles".

Cette découverte m'a incité à parler à un expert Web3 pour approfondir l'espace de cybersécurité Web3 et voir quels risques existent et peuvent potentiellement affliger le marché qui vaut près de 3 milliards de dollars (en 2021).

J'ai contacté Hartej Sawhney , fondateur et PDG de Zokyo , un studio de capital-risque qui construit, sécurise et finance des sociétés de crypto, DeFi et NFT. En tant que pionnier de l'industrie Web3, Hartej a joué un rôle clé dans l'élévation des normes dans l'écosystème des actifs numériques et dans l'introduction de produits et services qui établissent la référence de l'industrie en matière de sécurité, de transparence et de conformité.

En particulier, nous avons parlé des vulnérabilités de cybersécurité courantes identifiées lors des audits de contrats intelligents, du rôle de l'ingénierie sociale dans la cyberfraude liée au Web3, des risques de cybersécurité à prendre en compte avant d'investir dans le développement d'applications Web3, de la manière de protéger les NFT, et Suite.

Profitez de la conversation !

Hartej, pouvez-vous m'en dire plus sur vous et comment vous êtes devenu un expert en sécurité blockchain/web3 ?

Bien sûr! Je me suis sérieusement lancé dans la cryptographie alors que je vivais à Las Vegas en 2013. À cette époque, je dirigeais une startup fintech appelée Zuldi - une solution de point de vente mobile (PoS) qui s'intégrait aux systèmes PoS hérités de la nourriture et des boissons.

En 2016, j'ai cofondé Hosho aux côtés de Yo Sub Kwon, un "crypto OG", avec la vision de construire une entreprise qui se situerait à l'intersection de la blockchain et de la cybersécurité.

À l'époque, aucune entreprise au monde ne se trouvait à cette intersection. Bien sûr, certaines entreprises ont créé une division distincte au sein de leur entité plus large pour se concentrer sur l'audit intelligent des contrats. Pourtant, il n'y avait pas une seule entreprise qui s'appellerait "une entreprise de cybersécurité crypto/Web3" et couvrirait plus que le code source et l'audit de contrats intelligents. Cela étant dit, il n'y avait aucune entreprise spécialisée dans des domaines tels que l'infosec, la sécurité opérationnelle, les tests d'intrusion et la conformité en général.

Nous avons construit Hosho très rapidement. Basés à Las Vegas, aux États-Unis, nous sommes rapidement devenus une équipe de 37 personnes et avons généré environ 4 millions de dollars de revenus au cours des 12 premiers mois d'existence de l'entreprise. Nous n'étions pas distants d'abord, et la plupart de nos employés étaient basés à Las Vegas. Nous avons tiré de nombreuses leçons de cette approche.

Nous n'avons jamais lancé notre ICO parce que nous ne pouvions pas trouver une raison pour laquelle un auditeur de contrat intelligent aurait besoin de son propre jeton. Nous n'avons donc jamais lancé notre propre jeton et décidé de ne pas lever de capital-risque, surtout à cette époque. Cela était principalement dû au fait que nous ne fabriquions pas nos propres produits. À la base, nous étions encore une entreprise axée sur les services qui n'était pas très attrayante pour les investisseurs en capital-risque de la Silicon Valley.

En 2018, le marché de la cryptographie s'est effondré et toutes les demandes d'audit de contrats intelligents ont pratiquement disparu. Nous ne pouvions pas maintenir une équipe coûteuse de pirates informatiques célèbres et réputés travaillant pour nous dans notre bureau de Las Vegas. Donc, tragiquement, nous avons dû laisser tout le monde partir et licencier notre équipe.

Peu de temps après, j'ai déménagé de Las Vegas à Kiev, en Ukraine . En deux mois, j'ai commencé à créer Zokyo et à embaucher des auditeurs de contrats intelligents basés en Ukraine. Nous avons mis en place une page de destination pour Zokyo et commencé à auditer les contrats intelligents. Pendant le marché baissier, le travail est passé de l'audit de contrats intelligents pour les ICO à l'audit de morceaux de blockchains de couche 1.

Avant que nous ne le sachions, l'été DeFi est arrivé et les demandes d'audits de contrats intelligents sont revenues. À l'époque, j'ai voyagé dans le monde entier, prenant la parole lors de grandes conférences sur la blockchain et la cryptographie et organisant des événements privés où nous avons organisé les meilleurs constructeurs de blockchain dans toutes les grandes régions. De ce fait et grâce à mon expérience chez Hosho, il ne m'a pas fallu longtemps pour être contacté par des entreprises à la recherche de solutions de cybersécurité, notamment d'audits de contrats intelligents.

Lorsque vous auditez des contrats intelligents, y trouvez-vous souvent des vulnérabilités en matière de cybersécurité ? Quels sont les types de cyberattaques les plus courants sur les contrats intelligents ? Et que faites-vous si/lorsque vous trouvez une faille dans un contrat intelligent en cours d'audit ?

Lorsque nous auditons des contrats intelligents, nous rencontrons parfois des vulnérabilités telles que la réentrance , des bibliothèques malveillantes , des violations d'API ERC20 , des niveaux de visibilité implicites , des inférences de type non sécurisées , un DoS avec limite de gaz de bloc et des dépendances d'horodatage . Chaque fois que nous rencontrons des vulnérabilités potentielles, nous partageons nos découvertes avec l'équipe de développement et leur donnons la possibilité de les corriger. Une fois que l'équipe aura corrigé toutes les vulnérabilités identifiées, nous auditerons à nouveau le contrat intelligent.

Le plus souvent, les développeurs chevronnés tirent des leçons des erreurs les plus courantes commises au fil des ans et essaient de ne pas les répéter.

De nos jours, la plupart des vulnérabilités critiques proviennent de la logique métier sous-jacente du contrat et des cas marginaux que les développeurs n'ont pas pris en compte lors de l'écriture du code. C'est pourquoi il est crucial d'effectuer des revues de code manuelles ligne par ligne.

En général, que faut-il pour qu'un contrat intelligent passe l'audit Zokyo avec brio ?

Les contrats intelligents qui réussissent nos audits mettent en œuvre les meilleures pratiques et n'ont pas de propriétaire de contrat doté de pouvoirs spéciaux. Par exemple, une conception robuste qui pourrait atténuer les problèmes en cas d'événement de cygne noir - décentralisée en termes de propriété, ne permettant à aucun acteur d'avoir trop de pouvoir ou de contrôle sur la mise en œuvre ou la logique.

Il est important de réaliser des tests unitaires avec une couverture de 95 % voire 100 %. L'équipe corrigera tous les bogues en fonction de nos recommandations, quel que soit leur niveau de gravité. Nous aurons également des discussions ouvertes sur les plans de développement futurs et sur la manière dont ils pourraient affecter le produit réel.

Quels risques de cybersécurité faut-il prendre en compte avant d'investir dans la construction d'une application web3, d'une plateforme décentralisée ou d'un Token ?

Avant d'investir, il est important de s'engager dans plusieurs audits simultanés avec des membres d'équipe réputés. Vous devez étudier les rapports d'audit pour comprendre la conception ou la logique du produit à un niveau élevé. Tout d'abord, des rapports d'audit sont créés pour la communauté, ensuite pour les investisseurs et enfin pour l'équipe de développement.

Est-il vrai que Web3 exige que la sécurité soit plus préventive que réactive, contrairement à Web2 ? Pourquoi?

Les transactions Web3 sont immuables. Ainsi, ils ne peuvent pas être inversés une fois qu'ils ont eu lieu. Cela rend la sécurité préventive essentielle pour web3, car l'impact financier peut être important. En tant que tel, il s'écarte du modèle de sécurité de détection réactive et de réponse de web2.

Les réseaux de chaînes de blocs sont des cibles particulièrement attrayantes pour les cybercriminels en raison des actifs numériques et souvent tangibles qui y sont gérés. Sur la base de votre expérience de première main chez Zokyo, constatez-vous une utilisation accrue des escroqueries par ingénierie sociale, telles que l'ice phishing, sur le Web3 ? Et si oui, pourriez-vous nous en dire plus sur leur impact sur la sécurité web3 et comment les combattre ?

Les attaques d'ingénierie sociale continuent de tourmenter l'industrie. Cependant, l'ingénierie sociale dans le web3 est un peu différente. Au lieu d'envoyer un e-mail de phishing, les acteurs de la menace peuvent également compromettre un compte Twitter populaire et promouvoir des programmes de cadeaux cryptographiques et des projets NFT auprès d'utilisateurs peu méfiants.

Le phishing est ce qui a récemment conduit un pirate informatique à accéder aux quatre validateurs Ronin de Sky Mavis et à un validateur tiers géré par Axie DAO.

Les entreprises du Web3 ne peuvent pas se permettre de mettre en place une approche de sécurité réactive et axée sur les incidents.

Les entreprises, même les plus jeunes, doivent embaucher un responsable de la sécurité de l'innovation (CISO) qui s'appuie sur le manuel du CISO Council qui définit les meilleures normes et approches en matière de cyberréglementation. Le manuel CISO couvre l'un des cadres les plus importants - NIST (National Institute of Standards and Technology) du Département américain du commerce.

J'ai vu Zokyo parmi les fonds crypto Tier1 investir dans des projets célèbres tels que Layer Zero. Comment choisissez-vous les entreprises dans lesquelles vous investissez ? Et quel secteur du web3 est le plus florissant en ce moment ?

Zokyo travaille en étroite collaboration avec de nombreuses sociétés d'investissement de premier plan et a développé l'expertise et les ressources internes pour mener à bien la diligence des investissements techniques et de sécurité des projets. Les entreprises dans lesquelles nous investissons passent une due diligence qualitative et quantitative. Nous avons soutenu un éventail d'entreprises en démarrage avec une architecture technologique, des contrats intelligents d'ingénierie, la conception et la révision de l'économie des jetons et la cybersécurité. Une grande partie de nos investissements a porté sur l'infrastructure cryptographique de base.

Hartej, sur LinkedIn, vous vous appelez un "accumulateur de NFT". Quels sont les risques de cybersécurité qui vous préoccupent le plus personnellement lorsqu'il s'agit de conserver les collections de NFT ? Et comment les protéger contre la fraude web3 ?

Malheureusement, en 2022, nous avons vu plus de 6 fois plus de pertes dues aux crimes NFT. La plupart des crimes NFT que j'ai vus sont des signatures/erreurs malveillantes qui n'ont rien à voir avec le stockage ou les phrases de départ.

Le problème avec les NFT est qu'ils sont censés être interactifs ; vous ne pouvez pas simplement les voûter. Il est souvent conseillé aux gens d'utiliser un portefeuille matériel. Pourtant, un portefeuille matériel tel que Ledger ne peut pas vous sauver lorsque vous signez des transactions malveillantes.

Pour sécuriser votre portefeuille NFT, vous devez disposer d'une structure en couches lorsque vous utilisez un portefeuille chaud, un portefeuille froid et un coffre-fort (un deuxième portefeuille matériel). Utilisez un portefeuille chaud pour créer des NFT et interagir avec des contrats. Vous voulez seulement disposer des fonds nécessaires pour frapper/acheter un NFT dans des périodes de temps spécifiques. Dans un portefeuille froid, vous stockerez les actifs que vous proposez à la vente. Troisièmement, vous disposez d'un coffre-fort qui effectue uniquement des transactions d'entrée/sortie. Pourtant, vous ne connectez jamais ce portefeuille à un site Web ou n'interagissez avec aucun contrat.

En ce qui concerne les espaces gérés par les utilisateurs dans le Web3, il y a une déclaration selon laquelle si les utilisateurs ne mettent pas en œuvre une cyber-hygiène appropriée et ne protègent pas leurs propres données et leur vie privée, il y aura probablement peu d'autres mécanismes d'application en place. Cela représente un risque intrinsèque pour la sécurité de l'infrastructure web3 elle-même. Est-ce vrai?

En tant qu'utilisateur, vous devez vous assurer que vous suivez les meilleures pratiques en matière de cybersécurité, en particulier dans cet espace. L'intérêt de web3 est de responsabiliser les utilisateurs et de leur donner un contrôle total. Cependant, il s'agit d'une épée à double tranchant car elle rend les utilisateurs plus responsables de leurs données. Ainsi, dans le web3 (plus que dans le web2), les attaques d'ingénierie sociale telles que le phishing, les enregistreurs de frappe et les logiciels malveillants peuvent être beaucoup plus destructrices que dans le web2 car elles peuvent entraîner des pertes financières considérablement plus élevées.