Si vous êtes dans le web3 depuis plus de cinq minutes, vous avez soit été escroqué, soit failli l'être, soit été à un mauvais clic de rejoindre le club. Peu importe les gros rug pulls qui font les gros titres. Considérez les choses habituelles comme les fausses fenêtres contextuelles MetaMask, les liens d'échange décentralisé qui semblent légitimes mais ne le sont pas, ou les pages de bridge aléatoires que Google pousse joyeusement en tête de vos recherches.

Résumé

• Les escroqueries explosent — la fraude crypto a atteint au moins 9,9 milliards de dollars en 2024, avec des techniques de phishing de plus en plus sophistiquées et de faux sites DeFi érodant même la confiance des utilisateurs experts.
• La sécurité est considérée comme optionnelle — malgré les outils disponibles, la protection contre le phishing n'est pas intégrée à l'infrastructure de base, laissant l'adoption bloquée par des préoccupations de sécurité.
• Le risque quantique s'annonce — d'ici 2030, les systèmes doivent adopter la cryptographie post-quantique ; sans cela, combiné avec le phishing, le web3 fait face à une crise de crédibilité.
• Urgence d'action dans l'industrie — la sécurité doit être priorisée comme l'évolutivité ou les rendements DeFi, sinon de futurs hacks de milliards de dollars imposeront des corrections trop tard.

En 2024, les escroqueries liées aux cryptomonnaies ont généré au moins 9,9 milliards de dollars de revenus illicites, Chainalysis avertissant que le total pourrait atteindre un niveau record de 12,4 milliards de dollars à mesure que de nouvelles données arrivent. La fraude dans le secteur devient de plus en plus aiguë, les escrocs utilisant des sites de phishing plus convaincants, de fausses plateformes de finance décentralisée et des tactiques d'ingénierie sociale. La sophistication rend la détection plus difficile et les pertes plus importantes, érodant la confiance des utilisateurs. Même les traders expérimentés se font prendre.

Et pourtant, la grande communauté crypto considère souvent cela comme le coût des affaires, ce qui est fou. Imaginez que chaque fois que vous vous connectiez à votre banque en ligne, il y avait une chance sur dix que ce soit un faux site. Les gens se soulèveraient. Dans le web3, cependant, on hausse les épaules ; les gens tweetent "restez en sécurité, anon" et espèrent le meilleur.

C'est un problème réparable

La technologie existe déjà pour détecter les sites de phishing, les faux contrats intelligents et les bridges malveillants avant que vous n'interagissiez avec eux. Le problème est que cela a été considéré comme un supplément optionnel au lieu d'une partie intégrante de l'architecture. Les gens perdent des milliers de dollars chaque semaine en échangeant des tokens sur ce qui semblait être une interface de plateforme d'échange légitime. La seule chose qui les sauve est souvent un outil de sécurité basé sur le navigateur qui signale la page quelques secondes avant qu'ils ne cliquent sur « Confirmer ».

Considérer le phishing comme un problème de sécurité personnelle sous-estime gravement son influence sur le marché plus large. L'adoption par les particuliers ne ralentit pas parce que la technologie n'est pas suffisamment évolutive. Elle ralentit parce que les gens ne font pas confiance à la sécurité de leur argent. Bien que certains soutiennent que les couches de sécurité ne sont que des points de défaillance centraux, il existe déjà une dépendance significative à l'égard des fournisseurs d'infrastructure, des indexeurs, des nœuds d'appel de procédure à distance, des portefeuilles, et de dizaines d'autres points de blocage. Prétendre qu'ajouter une protection robuste contre le phishing compromet d'une manière ou d'une autre l'éthique est une excuse faible, compte tenu des enjeux élevés.

La bombe à temps de l'informatique quantique

Il y a un autre problème auquel la plupart des gens ne pensent pas assez : la sécurité post-quantique. Le gouvernement américain a déjà fixé des délais, selon lesquels tous les systèmes doivent passer à la cryptographie post-quantique d'ici 2030, avec les anciens algorithmes complètement éliminés d'ici 2035, ce qui signifie qu'une grande partie de l'infrastructure blockchain est en sursis. Combinez cela avec des attaques de phishing incontrôlées, et vous avez une tempête parfaite pour un effondrement de la confiance. Le Web3 ne sera pas pris au sérieux dans un monde post-quantique s'il continue à perdre des milliards à cause de faux liens.

Le plus grand prétexte est que les utilisateurs devraient simplement être plus prudents. Les piétons devraient regarder des deux côtés avant de traverser la rue, mais nous avons toujours des feux de circulation pour une raison. S'attendre à ce que chaque nouveau détenteur de portefeuille reconnaisse instantanément un lien de phishing est irréaliste, surtout lorsque les escrocs s'améliorent pour imiter des plateformes légitimes. Nous avons passé des années à nous préoccuper de la mise à l'échelle, de la composition et de la liquidité cross-chain. Pendant ce temps, la plainte numéro un des utilisateurs reste : "J'ai perdu mes pièces."

Les enjeux sont plus élevés que ce que les gens pensent

Les escroqueries crypto-natives dépassent largement leurs frontières d'origine. Elles ne se limitent plus aux plateformes d'échange ou aux protocoles DeFi tape-à-l'œil ; elles infiltrent progressivement des industries adjacentes et érodent la confiance à travers des écosystèmes entiers. Les bridges et les validateurs restent des cibles évidentes, mais ils ne sont pas les seuls. Les fournisseurs de télécommunications, les opérateurs d'énergie, les fabricants d'Internet des objets, les chaînes d'approvisionnement et même les systèmes de défense qui interagissent avec des composants basés sur la blockchain sont désormais des points d'entrée potentiels. Chaque nouvelle intégration crée une nouvelle surface de compromis, une nouvelle ouverture pour les attaquants à exploiter et un autre multiplicateur de risques qui sape la confiance du public.

Si vous êtes le responsable d'un projet, vous êtes confronté à deux réalités inconfortables. Premièrement, la sécurité résistante aux quantiques n'est pas un objectif académique lointain ; elle se dirige rapidement vers une exigence réglementaire stricte dans moins d'une décennie. Deuxièmement, chaque attaque de phishing très médiatisée ou campagne de collecte de données d'identification entre maintenant et cette date limite érode votre base d'utilisateurs, votre crédibilité et votre valeur totale verrouillée, des dommages qui s'accumulent silencieusement au fil du temps et qui sont bien plus difficiles à reconstruire qu'à prévenir.

Il est maintenant temps de diriger le même montant d'innovation, de financement et d'itération incessante vers l'architecture de sécurité que ce qui a été investi dans le yield farming, les mint de jetons non fongibles et la liquidité inter-chaînes. Le Web3 ne peut pas se prétendre de manière crédible être l'avenir de la finance et de l'infrastructure des données tout en continuant à considérer le phishing comme un simple problème d'"erreur utilisateur". À un moment donné, l'écosystème doit assumer la responsabilité.

En regardant en arrière, nous nous demanderons presque certainement pourquoi l'industrie a toléré de telles vulnérabilités évidentes pendant si longtemps et pourquoi elle n'a pas abordé le phishing à grande échelle plus tôt. La partie encourageante est que ce problème est solvable avec les bonnes priorités et choix de conception. La seule vraie question qui reste est de savoir si l'industrie prendra l'initiative maintenant ou attendra que le prochain hack de plusieurs milliards de dollars la contraigne à agir.

David Carvalho

David Carvalho est le fondateur, PDG et Chief Scientist du Naoris Protocol, la première solution de sécurité décentralisée au monde, alimentée par une blockchain post-quantique et une IA distribuée, soutenue par Tim Draper et l'ancien chef du renseignement de l'OTAN. Fort de plus de 20 ans d'expérience en tant que Chief Information Security Officer mondial et hacker éthique, David a travaillé à la fois à des niveaux techniques et C-suite dans des organisations de plusieurs milliards de dollars à travers l'Europe et le Royaume-Uni. Il est un conseiller de confiance pour les États-nations et les infrastructures critiques sous l'OTAN, se concentrant sur la cyber-guerre, le cyber-terrorisme et la cyber-espionnage. Pionnier de la blockchain depuis 2013, David a contribué à des innovations dans le minage PoS/PoW et la cybersécurité de nouvelle génération. Son travail met l'accent sur l'atténuation des risques, la création de richesse éthique et les avancées axées sur la valeur dans la crypto, l'automatisation et l'IA distribuée.