Le co-fondateur de CertiK discute des menaces à la sécurité de Web3.0 et des stratégies de défense
Récemment, un média technologique bien connu a réalisé une interview avec le cofondateur et PDG de CertiK. Les deux parties ont approfondi la discussion sur le dernier rapport de sécurité publié par l'entreprise, en explorant l'évolution des méthodes de piratage et les voies d'innovation des technologies de défense.
Ce PDG souligne que la sécurité doit être considérée comme un principe fondamental, et non comme une mesure de remédiation après coup. Il plaide pour l'intégration de la sécurité dans la stratégie globale dès le lancement du projet, estimant qu'une stratégie proactive de "sécurité d'abord" est cruciale pour construire des applications Web3.0 fiables. Plus précisément, il recommande d'utiliser activement des technologies de pointe telles que la vérification formelle, les preuves à divulgation nulle de connaissance et le calcul multipartite pour renforcer de manière globale les capacités de protection des protocoles blockchain et des contrats intelligents.
Cette insistance sur la sécurité n'est pas le produit d'une tendance de marché à court terme, mais résulte de l'exploration et de la pratique à long terme du PDG en matière d'idéaux technologiques. De sa participation au développement du système d'exploitation qualifié de "sans faille", à la création d'une muraille de sécurité pour des actifs numériques dépassant 5300 milliards de dollars, il s'est toujours engagé à protéger la sécurité de l'industrie et à renforcer la confiance dans le secteur.
Ce PDG a déclaré à plusieurs reprises que la sécurité n'est pas un avantage concurrentiel, mais une responsabilité commune. Il a transformé les résultats académiques du laboratoire en pratiques de sécurité concrètes dans l'industrie et a intégré le concept de "responsabilité commune" dans la collaboration de l'industrie. Ce leader technique issu d'une grande école s'oppose à l'incertitude des attaques de hackers par la vérifiabilité de la logique mathématique, ancrant les coordonnées de sécurité de l'ère Web3.0 entre les idéaux technologiques et la réalité.
Contenu de l'entretien : Protéger le front de Web3.0 - Analyse des menaces et des défenses en matière de sécurité blockchain
Dans le domaine en rapide évolution de Web3.0, la sécurité de la blockchain est devenue une priorité absolue. CertiK, dirigé par un professeur d'informatique de l'Université de Columbia, s'engage à renforcer de manière exhaustive la sécurité de l'écosystème blockchain. L'entreprise améliore la sécurité de la blockchain et des contrats intelligents grâce à des techniques de vérification formelle, devenant ainsi un leader de l'industrie en matière de sécurité Web3.0.
Le dernier rapport de sécurité publié révèle de nouvelles tendances en matière de vol d'actifs numériques et de menaces à la sécurité. Le rapport explore également des technologies de pointe telles que les preuves à divulgation nulle de connaissance et le calcul multipartite, fournissant des conseils pratiques aux développeurs de blockchain, tout en analysant le double rôle de l'IA dans le domaine de la sécurité. Avec l'implication croissante des institutions financières traditionnelles dans la blockchain, les défis en matière de sécurité s'intensifient également, rendant crucial les mesures proactives pour protéger les utilisateurs et maintenir l'intégrité de l'écosystème.
Q : Pouvez-vous vous présenter brièvement ainsi que la mission principale de CertiK ?
A : Je suis le co-fondateur et PDG de CertiK, et également professeur à l'Université de Columbia. Ma mission avec CertiK est profondément enracinée dans le renforcement de la sécurité de l'écosystème Web3.0.
CertiK a été fondée en 2017, avec pour principe fondamental d'utiliser la technologie de vérification formelle pour surveiller en continu et renforcer la sécurité des protocoles blockchain et des contrats intelligents, garantissant leur fonctionnement sécurisé et correct. Nous intégrons des solutions de pointe provenant du milieu académique et de l'industrie pour aider les applications Web3.0 à réaliser une évolutivité durable tout en garantissant la sécurité. À ce jour, nous avons servi plus de 4 900 clients d'entreprises, protégeant au total plus de 530 milliards de dollars d'actifs numériques et identifiant plus de 115 000 vulnérabilités de code.
Q : Quelles sont les principales découvertes du rapport de sécurité récemment publié par CertiK ?
A : Au premier trimestre 2025, les pertes dues aux fraudes sur la blockchain s'élèvent à environ 1,66 milliard de dollars, soit une augmentation fulgurante de 303 % par rapport au trimestre précédent. Cela est principalement attribué à l'incident de piratage d'une bourse à la fin février, où les hackers ont volé environ 1,4 milliard de dollars. Comme au cours des trimestres précédents, Ethereum reste la principale cible d'attaques, avec trois incidents de sécurité ayant entraîné une perte d'actifs de 1,54 milliard de dollars. Plus choquant encore, nous avons découvert que seulement 0,38 % des actifs volés ont été récupérés avec succès au premier trimestre.
Q : Les principales cibles des attaques blockchain ont-elles changé par rapport au trimestre précédent ?
A : La tendance du premier trimestre 2025 a poursuivi la dynamique de fin 2024, Ethereum reste une zone de forte attaque. Au quatrième trimestre 2024, il y a eu 99 incidents de sécurité sur Ethereum, tandis que le premier trimestre en a compté 93. C'est un thème récurrent : tout au long de 2024, les projets basés sur Ethereum ont connu le plus d'incidents de sécurité ; en regardant vers 2025, cette situation semble se poursuivre.
Un incident de piratage d'une bourse est également un exemple typique : un portefeuille basé sur l'écosystème Ethereum a été infiltré, entraînant des pertes considérables. La raison pour laquelle Ethereum est devenu le point focal des attaques réside dans le grand nombre de protocoles DeFi et l'énorme taille des actifs bloqués ; d'autre part, de nombreux contrats intelligents sur Ethereum présentent des vulnérabilités.
Q : Face à des méthodes d'attaque de plus en plus complexes, comment l'industrie de la sécurité blockchain réagit-elle ?
A : Les attaquants utilisent de plus en plus des stratégies complexes telles que l'ingénierie sociale, les technologies d'IA et la manipulation des contrats intelligents pour contourner les mécanismes de sécurité existants. Avec l'utilisation généralisée des actifs numériques et l'augmentation de leur valeur, l'industrie doit s'adapter à la nouvelle situation pour assurer l'intégrité des projets et la sécurité des actifs des utilisateurs.
L'industrie s'attaque activement aux défis en promouvant le développement de technologies innovantes telles que les preuves à divulgation nulle de connaissance (ZKP) et la sécurité on-chain, qui offrent des solutions prometteuses aux problèmes de sécurité de plus en plus pressants, permettant d'auditer les transactions, de retracer les attaques et de récupérer des actifs tout en protégeant la vie privée. Le calcul multi-parties (MPC) renforce davantage la gestion des clés en décentralisant le contrôle des clés privées entre plusieurs parties, éliminant ainsi le risque de point de défaillance unique et augmentant considérablement la difficulté d'accès non autorisé au portefeuille par des attaquants. Avec l'évolution continue de ces technologies de sécurité, elles joueront un rôle crucial dans la résistance aux attaques de hackers et dans le maintien de l'intégrité des écosystèmes décentralisés.
Q : Quels conseils de sécurité donneriez-vous aux développeurs de blockchain et aux équipes de projet ?
A : Mettre la sécurité en priorité dès le départ devrait être un principe non négociable. Intégrer la sécurité à chaque étape du développement, plutôt que de corriger après coup, aide à identifier les vulnérabilités potentielles tôt et permet d'économiser beaucoup de temps et de ressources à long terme. Cette stratégie proactive de "sécurité prioritaire" est essentielle pour construire la base d'applications Web3.0 fiables. Intégrer la sécurité dans l'ensemble du processus de développement aide à détecter les vulnérabilités à l'avance et à réduire les coûts de réparation ultérieurs.
De plus, solliciter des agences de sécurité blockchain pour effectuer un audit tiers complet et impartial peut fournir une perspective indépendante, permettant de découvrir des risques potentiels que l'équipe interne pourrait négliger. Ce type d'évaluation externe offre une étape d'examen cruciale, aidant à identifier et à corriger rapidement les vulnérabilités, renforçant ainsi la sécurité globale du projet et augmentant la confiance des utilisateurs.
Q : Quel rôle l'IA joue-t-elle dans la sécurité de la blockchain ? A-t-elle un impact positif ou a-t-elle introduit de nouveaux risques ?
A : L'IA est un outil important de notre système de sécurité, et nous l'avons également intégré comme l'une des stratégies clés pour garantir la sécurité des systèmes blockchain. Nous utilisons la technologie IA pour analyser les vulnérabilités et les défauts de sécurité potentiels dans les contrats intelligents, nous aidant à effectuer des audits complets de manière plus efficace que jamais, mais cela ne peut pas remplacer les équipes d'audit d'experts humains.
Cependant, les attaquants peuvent également utiliser l'IA pour renforcer leurs méthodes d'attaque. Par exemple, l'IA peut être utilisée pour identifier des vulnérabilités dans le code, contourner les mécanismes de consensus et les systèmes de défense. Cela signifie que le seuil de la sécurité est élevé, et avec la popularité croissante des applications d'IA, l'industrie doit investir dans des solutions de sécurité plus puissantes.
Q : Qu'est-ce que la vérification formelle ? Comment cela améliore-t-il l'efficacité de l'audit blockchain ?
A : La vérification formelle est une méthode qui prouve, par des moyens mathématiques, qu'un programme informatique fonctionne comme prévu. Elle exprime les propriétés du programme sous forme de formules mathématiques et utilise des outils automatisés pour les vérifier.
Cette technologie peut être largement appliquée dans divers domaines de l'industrie technologique, y compris la conception matérielle, l'ingénierie logicielle, la cybersécurité, l'IA et l'audit des contrats intelligents. Il est important de souligner que la vérification formelle n'est pas destinée à remplacer l'audit manuel. Pour les contrats intelligents, la vérification formelle s'appuie sur des méthodes automatisées pour évaluer la logique et le comportement des contrats, tandis que l'audit manuel est effectué par des experts en sécurité qui examinent en profondeur le code, la conception et le déploiement afin d'identifier les risques de sécurité potentiels. Les deux se complètent mutuellement, renforçant ainsi la sécurité globale des contrats intelligents.
Q : Avec l'entrée des institutions financières traditionnelles dans le secteur de la blockchain, pensez-vous que le type ou la complexité des menaces de sécurité va changer ?
A : Au début de Web3.0 et de l'industrie de la blockchain, les attaquants ciblaient souvent des utilisateurs individuels ou de petits projets, utilisant des méthodes telles que le phishing, le RugPull et l'exploitation de vulnérabilités de portefeuille. Selon notre dernier rapport trimestriel, ces défis persistent. Cependant, avec l'entrée d'institutions traditionnelles et de grandes entreprises, les risques de sécurité liés à l'intégrité du réseau entreront également dans une nouvelle phase. Ce changement est dû à l'augmentation de la taille des actifs des projets, ainsi qu'aux besoins de sécurité uniques des applications de niveau entreprise, aux exigences réglementaires et à la profonde intégration de la blockchain avec le système financier traditionnel.
Étant donné que la plupart des institutions traditionnelles ont de l'expérience dans la lutte contre les menaces en ligne, nous prévoyons que les acteurs malveillants vont également augmenter la complexité de leurs attaques, en passant des attaques sur les vulnérabilités des portefeuilles génériques à des faiblesses ciblées au niveau des entreprises, telles que les erreurs de configuration, les vulnérabilités des contrats intelligents personnalisés, ainsi que les défauts de sécurité dans les interfaces d'intégration avec les systèmes traditionnels.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Le fondateur de CertiK révèle la stratégie de sécurité Web3 : d'un fossé de protection de 5300 milliards au chemin de défense futur.
Le co-fondateur de CertiK discute des menaces à la sécurité de Web3.0 et des stratégies de défense
Récemment, un média technologique bien connu a réalisé une interview avec le cofondateur et PDG de CertiK. Les deux parties ont approfondi la discussion sur le dernier rapport de sécurité publié par l'entreprise, en explorant l'évolution des méthodes de piratage et les voies d'innovation des technologies de défense.
Ce PDG souligne que la sécurité doit être considérée comme un principe fondamental, et non comme une mesure de remédiation après coup. Il plaide pour l'intégration de la sécurité dans la stratégie globale dès le lancement du projet, estimant qu'une stratégie proactive de "sécurité d'abord" est cruciale pour construire des applications Web3.0 fiables. Plus précisément, il recommande d'utiliser activement des technologies de pointe telles que la vérification formelle, les preuves à divulgation nulle de connaissance et le calcul multipartite pour renforcer de manière globale les capacités de protection des protocoles blockchain et des contrats intelligents.
Cette insistance sur la sécurité n'est pas le produit d'une tendance de marché à court terme, mais résulte de l'exploration et de la pratique à long terme du PDG en matière d'idéaux technologiques. De sa participation au développement du système d'exploitation qualifié de "sans faille", à la création d'une muraille de sécurité pour des actifs numériques dépassant 5300 milliards de dollars, il s'est toujours engagé à protéger la sécurité de l'industrie et à renforcer la confiance dans le secteur.
Ce PDG a déclaré à plusieurs reprises que la sécurité n'est pas un avantage concurrentiel, mais une responsabilité commune. Il a transformé les résultats académiques du laboratoire en pratiques de sécurité concrètes dans l'industrie et a intégré le concept de "responsabilité commune" dans la collaboration de l'industrie. Ce leader technique issu d'une grande école s'oppose à l'incertitude des attaques de hackers par la vérifiabilité de la logique mathématique, ancrant les coordonnées de sécurité de l'ère Web3.0 entre les idéaux technologiques et la réalité.
Contenu de l'entretien : Protéger le front de Web3.0 - Analyse des menaces et des défenses en matière de sécurité blockchain
Dans le domaine en rapide évolution de Web3.0, la sécurité de la blockchain est devenue une priorité absolue. CertiK, dirigé par un professeur d'informatique de l'Université de Columbia, s'engage à renforcer de manière exhaustive la sécurité de l'écosystème blockchain. L'entreprise améliore la sécurité de la blockchain et des contrats intelligents grâce à des techniques de vérification formelle, devenant ainsi un leader de l'industrie en matière de sécurité Web3.0.
Le dernier rapport de sécurité publié révèle de nouvelles tendances en matière de vol d'actifs numériques et de menaces à la sécurité. Le rapport explore également des technologies de pointe telles que les preuves à divulgation nulle de connaissance et le calcul multipartite, fournissant des conseils pratiques aux développeurs de blockchain, tout en analysant le double rôle de l'IA dans le domaine de la sécurité. Avec l'implication croissante des institutions financières traditionnelles dans la blockchain, les défis en matière de sécurité s'intensifient également, rendant crucial les mesures proactives pour protéger les utilisateurs et maintenir l'intégrité de l'écosystème.
Q : Pouvez-vous vous présenter brièvement ainsi que la mission principale de CertiK ?
A : Je suis le co-fondateur et PDG de CertiK, et également professeur à l'Université de Columbia. Ma mission avec CertiK est profondément enracinée dans le renforcement de la sécurité de l'écosystème Web3.0.
CertiK a été fondée en 2017, avec pour principe fondamental d'utiliser la technologie de vérification formelle pour surveiller en continu et renforcer la sécurité des protocoles blockchain et des contrats intelligents, garantissant leur fonctionnement sécurisé et correct. Nous intégrons des solutions de pointe provenant du milieu académique et de l'industrie pour aider les applications Web3.0 à réaliser une évolutivité durable tout en garantissant la sécurité. À ce jour, nous avons servi plus de 4 900 clients d'entreprises, protégeant au total plus de 530 milliards de dollars d'actifs numériques et identifiant plus de 115 000 vulnérabilités de code.
Q : Quelles sont les principales découvertes du rapport de sécurité récemment publié par CertiK ?
A : Au premier trimestre 2025, les pertes dues aux fraudes sur la blockchain s'élèvent à environ 1,66 milliard de dollars, soit une augmentation fulgurante de 303 % par rapport au trimestre précédent. Cela est principalement attribué à l'incident de piratage d'une bourse à la fin février, où les hackers ont volé environ 1,4 milliard de dollars. Comme au cours des trimestres précédents, Ethereum reste la principale cible d'attaques, avec trois incidents de sécurité ayant entraîné une perte d'actifs de 1,54 milliard de dollars. Plus choquant encore, nous avons découvert que seulement 0,38 % des actifs volés ont été récupérés avec succès au premier trimestre.
Q : Les principales cibles des attaques blockchain ont-elles changé par rapport au trimestre précédent ?
A : La tendance du premier trimestre 2025 a poursuivi la dynamique de fin 2024, Ethereum reste une zone de forte attaque. Au quatrième trimestre 2024, il y a eu 99 incidents de sécurité sur Ethereum, tandis que le premier trimestre en a compté 93. C'est un thème récurrent : tout au long de 2024, les projets basés sur Ethereum ont connu le plus d'incidents de sécurité ; en regardant vers 2025, cette situation semble se poursuivre.
Un incident de piratage d'une bourse est également un exemple typique : un portefeuille basé sur l'écosystème Ethereum a été infiltré, entraînant des pertes considérables. La raison pour laquelle Ethereum est devenu le point focal des attaques réside dans le grand nombre de protocoles DeFi et l'énorme taille des actifs bloqués ; d'autre part, de nombreux contrats intelligents sur Ethereum présentent des vulnérabilités.
Q : Face à des méthodes d'attaque de plus en plus complexes, comment l'industrie de la sécurité blockchain réagit-elle ?
A : Les attaquants utilisent de plus en plus des stratégies complexes telles que l'ingénierie sociale, les technologies d'IA et la manipulation des contrats intelligents pour contourner les mécanismes de sécurité existants. Avec l'utilisation généralisée des actifs numériques et l'augmentation de leur valeur, l'industrie doit s'adapter à la nouvelle situation pour assurer l'intégrité des projets et la sécurité des actifs des utilisateurs.
L'industrie s'attaque activement aux défis en promouvant le développement de technologies innovantes telles que les preuves à divulgation nulle de connaissance (ZKP) et la sécurité on-chain, qui offrent des solutions prometteuses aux problèmes de sécurité de plus en plus pressants, permettant d'auditer les transactions, de retracer les attaques et de récupérer des actifs tout en protégeant la vie privée. Le calcul multi-parties (MPC) renforce davantage la gestion des clés en décentralisant le contrôle des clés privées entre plusieurs parties, éliminant ainsi le risque de point de défaillance unique et augmentant considérablement la difficulté d'accès non autorisé au portefeuille par des attaquants. Avec l'évolution continue de ces technologies de sécurité, elles joueront un rôle crucial dans la résistance aux attaques de hackers et dans le maintien de l'intégrité des écosystèmes décentralisés.
Q : Quels conseils de sécurité donneriez-vous aux développeurs de blockchain et aux équipes de projet ?
A : Mettre la sécurité en priorité dès le départ devrait être un principe non négociable. Intégrer la sécurité à chaque étape du développement, plutôt que de corriger après coup, aide à identifier les vulnérabilités potentielles tôt et permet d'économiser beaucoup de temps et de ressources à long terme. Cette stratégie proactive de "sécurité prioritaire" est essentielle pour construire la base d'applications Web3.0 fiables. Intégrer la sécurité dans l'ensemble du processus de développement aide à détecter les vulnérabilités à l'avance et à réduire les coûts de réparation ultérieurs.
De plus, solliciter des agences de sécurité blockchain pour effectuer un audit tiers complet et impartial peut fournir une perspective indépendante, permettant de découvrir des risques potentiels que l'équipe interne pourrait négliger. Ce type d'évaluation externe offre une étape d'examen cruciale, aidant à identifier et à corriger rapidement les vulnérabilités, renforçant ainsi la sécurité globale du projet et augmentant la confiance des utilisateurs.
Q : Quel rôle l'IA joue-t-elle dans la sécurité de la blockchain ? A-t-elle un impact positif ou a-t-elle introduit de nouveaux risques ?
A : L'IA est un outil important de notre système de sécurité, et nous l'avons également intégré comme l'une des stratégies clés pour garantir la sécurité des systèmes blockchain. Nous utilisons la technologie IA pour analyser les vulnérabilités et les défauts de sécurité potentiels dans les contrats intelligents, nous aidant à effectuer des audits complets de manière plus efficace que jamais, mais cela ne peut pas remplacer les équipes d'audit d'experts humains.
Cependant, les attaquants peuvent également utiliser l'IA pour renforcer leurs méthodes d'attaque. Par exemple, l'IA peut être utilisée pour identifier des vulnérabilités dans le code, contourner les mécanismes de consensus et les systèmes de défense. Cela signifie que le seuil de la sécurité est élevé, et avec la popularité croissante des applications d'IA, l'industrie doit investir dans des solutions de sécurité plus puissantes.
Q : Qu'est-ce que la vérification formelle ? Comment cela améliore-t-il l'efficacité de l'audit blockchain ?
A : La vérification formelle est une méthode qui prouve, par des moyens mathématiques, qu'un programme informatique fonctionne comme prévu. Elle exprime les propriétés du programme sous forme de formules mathématiques et utilise des outils automatisés pour les vérifier.
Cette technologie peut être largement appliquée dans divers domaines de l'industrie technologique, y compris la conception matérielle, l'ingénierie logicielle, la cybersécurité, l'IA et l'audit des contrats intelligents. Il est important de souligner que la vérification formelle n'est pas destinée à remplacer l'audit manuel. Pour les contrats intelligents, la vérification formelle s'appuie sur des méthodes automatisées pour évaluer la logique et le comportement des contrats, tandis que l'audit manuel est effectué par des experts en sécurité qui examinent en profondeur le code, la conception et le déploiement afin d'identifier les risques de sécurité potentiels. Les deux se complètent mutuellement, renforçant ainsi la sécurité globale des contrats intelligents.
Q : Avec l'entrée des institutions financières traditionnelles dans le secteur de la blockchain, pensez-vous que le type ou la complexité des menaces de sécurité va changer ?
A : Au début de Web3.0 et de l'industrie de la blockchain, les attaquants ciblaient souvent des utilisateurs individuels ou de petits projets, utilisant des méthodes telles que le phishing, le RugPull et l'exploitation de vulnérabilités de portefeuille. Selon notre dernier rapport trimestriel, ces défis persistent. Cependant, avec l'entrée d'institutions traditionnelles et de grandes entreprises, les risques de sécurité liés à l'intégrité du réseau entreront également dans une nouvelle phase. Ce changement est dû à l'augmentation de la taille des actifs des projets, ainsi qu'aux besoins de sécurité uniques des applications de niveau entreprise, aux exigences réglementaires et à la profonde intégration de la blockchain avec le système financier traditionnel.
Étant donné que la plupart des institutions traditionnelles ont de l'expérience dans la lutte contre les menaces en ligne, nous prévoyons que les acteurs malveillants vont également augmenter la complexité de leurs attaques, en passant des attaques sur les vulnérabilités des portefeuilles génériques à des faiblesses ciblées au niveau des entreprises, telles que les erreurs de configuration, les vulnérabilités des contrats intelligents personnalisés, ainsi que les défauts de sécurité dans les interfaces d'intégration avec les systèmes traditionnels.