Après l'incident Bybit, comment les investisseurs peuvent-ils protéger leur sécurité ETH

Le 21 février 2025, le détective en chaîne ZachXBT a été le premier à révéler une nouvelle majeure sur les réseaux sociaux : la plateforme Bybit a été victime d’un grave incident de sécurité, avec environ 401 346 ETH (d’une valeur d’environ 11,3 milliards de dollars) ainsi que certains jetons de garantie de liquidité (comme le stETH) volés de son portefeuille froid, entraînant des pertes totales atteignant 14,6 milliards de dollars. Il s’agit non seulement du plus important cas de vol unique de l’histoire des crypto-monnaies, mais cela remet également en lumière le sujet de la sécurité de l’ETH dans l’industrie.

Bien que l’incident soit essentiellement le résultat d’une faille de sécurité de la plateforme d’échange et non d’un problème du réseau Ethereum lui-même, il nous rappelle qu’en grande partie, la sécurité des actifs ETH détenus par les utilisateurs dépend de l’environnement de stockage et d’utilisation. Cet article prend l’incident de Bybit comme point de départ pour explorer les risques de sécurité liés à l’ETH et proposer des stratégies de protection concrètes aux utilisateurs.

L’affaire Bybit : la leçon de la défaillance de l’échange

Les pirates informatiques ont exploité une faille dans le portefeuille à signatures multiples, ont falsifié l’interface de transaction, ont trompé les signataires pour approuver involontairement des contrats intelligents malveillants, transférant finalement d’importantes sommes d’ETH et d’autres actifs du portefeuille froid à l’adresse du pirate. Cette attaque n’a pas visé directement la blockchain Ethereum, mais a attaqué précisément les processus de sécurité internes de Bybit.

Après l’événement, le PDG de Bybit, Ben Zhou, a déclaré que la bourse avait toujours la capacité de rembourser, que les actifs des clients étaient protégés dans une proportion de 1:1 et que les retraits n’étaient pas affectés. Cependant, la perte de 1,46 milliard de dollars suffit à faire reconsidérer l’ensemble de l’industrie les faiblesses des plateformes centralisées en ce qui concerne la sécurité de l’ETH.

Il est important de noter que le réseau Ethereum lui-même n’a pas exposé de faille lors de cet incident. En tant que blockchain décentralisée, le protocole central d’Ethereum a subi plusieurs mises à niveau au cours de la dernière décennie, renforçant ainsi considérablement sa sécurité. Cependant, lorsque les utilisateurs stockent de l’ETH sur des plateformes d’échange centralisées, la sécurité des actifs est alors entre les mains de tiers, ce qui déplace également les risques. C’est là que réside la leçon centrale de l’incident Bybit : la sécurité de l’ETH dépend souvent non pas de la blockchain elle-même, mais de la manière dont les utilisateurs choisissent de la gérer.

Où se situe la vraie menace pour la sécurité d’ETH ?

Bien que le réseau Ethereum ne soit pas directement impliqué dans l’incident Bybit, cela ne signifie pas que les détenteurs d’ETH peuvent dormir sur leurs deux oreilles. Voici quelques domaines de risque majeurs étroitement liés à la sécurité de l’ETH :

1. Point de défaillance unique des échanges centralisés
L’affaire Bybit montre que les plateformes d’échange centralisées sont les principales cibles des hackers en raison de la grande quantité d’actifs stockés de manière centralisée. Que ce soit dans un portefeuille froid ou chaud, une fois que la sécurité de la plateforme est compromise, les actifs des utilisateurs peuvent disparaître instantanément. Des événements similaires ne sont pas rares dans l’histoire, comme les effondrements de Mt.Gox et FTX qui ont entraîné d’énormes pertes.

2. Ingénierie sociale et attaque de phishing
Dans l’affaire Bybit, les pirates informatiques ont mis en avant le pouvoir des attaques d’ingénierie sociale en trompant les signataires en falsifiant l’interface de trading. Pour les utilisateurs ordinaires, les sites de phishing, les applications de portefeuille contrefaites ou les liens malveillants peuvent entraîner une divulgation de la clé privée, entraînant ainsi la perte d’ETH.

3. Risques d’interaction des contrats intelligents
Bien que l’incident Bybit n’implique pas directement de vulnérabilités dans les contrats intelligents d’Ethereum, les utilisateurs interagissent inévitablement avec des contrats intelligents lorsqu’ils utilisent de l’ETH dans DeFi ou d’autres DApp. Si le code du contrat présente des problèmes, ou si l’utilisateur approuve par erreur des autorisations malveillantes, les actifs en ETH pourraient être transférés facilement.

4. La complexité de la mise en gage de la liquidité des jetons
Après la transition de l’Ethereum vers la preuve d’enjeu, les tokens de liquidité staking (comme le stETH) sont devenus des actifs populaires. Le vol de certains stETH lors de l’incident Bybit nous rappelle que bien que ces tokens aient des cas d’utilisation riches, ils augmentent également la complexité de la gestion et les risques potentiels.

5. Les défis de la gestion des clés privées
Pour les utilisateurs qui choisissent de conserver leur ETH en toute sécurité, la sécurité de la clé privée est essentielle. Une fois la clé privée perdue ou volée, les actifs ne peuvent pas être récupérés, ce qui constitue également un dilemme pour de nombreux utilisateurs novices. Comment protéger son ETH ?

Bien que l’incident Bybit soit une attaque contre les échanges, il sonne l’alarme pour tous les détenteurs d’ETH. Voici des conseils pratiques, du niveau individuel au secteur, pour renforcer la sécurité de l’ETH :

1. Prioritize decentralized storage
Stocker ETH dans un portefeuille décentralisé (comme MetaMask, Trust Wallet) peut éviter les pertes dues à la défaillance des échanges. Pour les gros montants, un portefeuille matériel (comme Ledger, Trezor) est un choix plus sûr. L’incident de Bybit montre que les portefeuilles froids ne sont pas infaillibles, l’auto-garde est la clé.

2. Méfiez-vous des attaques de phishing et d’usurpation
Ne saisissez jamais votre clé privée ou votre phrase mnémonique sur des sites Web ou des applications d’origine inconnue. Utilisez des signets pour accéder aux plateformes courantes et évitez de cliquer sur des liens suspects dans les e-mails ou les réseaux sociaux. L’interface de trading usurpée dans l’affaire Bybit est un exemple typique de ce type d’attaque.

3. Prudence dans l’interaction avec les contrats intelligents
Lors de la participation à des projets DeFi ou NFT, utilisez un explorateur de blocs (comme Etherscan) pour vérifier si l’adresse du contrat intelligent est digne de confiance. Évitez d’approuver des autorisations inconnues de manière aléatoire et assurez-vous que l’intention de chaque transaction est clairement définie.

4. Diversifiez les actifs pour réduire les risques
Ne concentrez pas tout l’ETH dans un seul portefeuille ou plateforme. Adoptez une stratégie de stockage en couches, par exemple en plaçant l’ETH utilisé à court terme dans un portefeuille chaud, et transférant une partie de la détention à long terme vers un stockage à froid, ce qui peut aider à répartir efficacement les risques.

5. Vérification et sauvegarde régulières
Vérifiez régulièrement le solde de votre portefeuille et l’historique des transactions pour vous assurer qu’il n’y a aucune opération anormale. En même temps, sauvegardez vos mots de récupération et stockez-les dans un endroit sûr (comme un coffre-fort physique) pour éviter toute perte de l’appareil.

Réflexions sur la sécurité d’ETH

Bien que l’incident Bybit ait été choquant, il n’est pas directement lié à la fiabilité du réseau Ethereum lui-même. Le véritable défi réside dans la façon dont les détenteurs d’ETH protègent leurs actifs dans un environnement de plus en plus complexe. Qu’il s’agisse de compter sur la commodité des plateformes d’échange ou de choisir la liberté de l’auto-conservation, chaque approche comporte ses propres compromis. La clé réside dans la compréhension des risques et la prise de mesures proactives.