Le rapport inaugural du "Plan de Sécurité d'un Billion de Dollars" de la Fondation Ethereum : un aperçu des défis écologiques liés aux smart contracts, infrastructures et sécurité cloud… six grands défis écologiques.
La Fondation Ethereum a officiellement publié hier (10) le premier rapport du « Plan de sécurité d’un billion de dollars américains » « Aperçu des défis de sécurité » via la plate-forme X, couvrant six aspects : l’expérience utilisateur, les contrats intelligents, la sécurité de l’infrastructure et du cloud, le protocole de consensus, la surveillance, la réponse et l’atténuation des incidents, ainsi que la couche sociale et la gouvernance. (Synopsis : Nouvelle proposition d’Ethereum : architecture modulaire + amélioration de la confidentialité pour se conformer à la spécification des données RGPD de l’UE, quelles sont les fonctionnalités ? La Fondation Ethereum a annoncé le mois dernier le lancement de l’initiative « Trillion Dollar Security (1TS) », qui vise à garantir qu’Ethereum peut aider des milliards d’utilisateurs à détenir en toute sécurité plus de 1 billion de dollars d’actifs on-chain, et à donner aux entreprises, institutions et gouvernements la confiance nécessaire pour stocker et effectuer des transactions plus de 1 dans un seul contrat intelligent ou une seule application La valeur de milliards de dollars a propulsé Ethereum au rang d'« infrastructure de civilisation » de l’économie mondiale. Pas plus tard qu’hier (10), la Fondation Ethereum a officiellement publié le premier rapport du projet, « Security Challenges Overview » via la plateforme X. Le rapport identifie six défis de sécurité clés pour l’écosystème Ethereum et jette les bases de solutions aux problèmes prioritaires ultérieurs. La publication du rapport marque une étape importante dans la poursuite par Ethereum de normes de sécurité plus élevées. 0. Le mois dernier, nous avons annoncé l’initiative Trillion Dollar Security (1TS) : un effort à l’échelle de l’écosystème pour améliorer la sécurité d’Ethereum. Aujourd’hui, nous publions le premier rapport 1TS : un aperçu des défis de sécurité existants dans l’écosystème Ethereum. pic.twitter.com/R1dhY34pDT — Fondation Ethereum (@ethereumfndn) 10 juin 2025 Analyse détaillée des six défis de sécurité d’Ethereum Selon le rapport « Aperçu des défis de sécurité existants dans l’écosystème Ethereum », la Fondation Ethereum travaille avec des utilisateurs, des développeurs et des Sur la base des nombreux commentaires d’experts et d’institutions en matière de sécurité, des défis ont été identifiés dans les six domaines clés suivants : 1. L’interface avec laquelle les utilisateurs interagissent avec Ethereum est une source centrale de problèmes de sécurité, et une seule erreur due à l’atomicité (irréversibilité) des transactions peut causer des dommages importants. 1.1 Gestion des clés privées : Il est difficile pour les utilisateurs de gérer en toute sécurité les clés privées, les mnémoniques des portefeuilles logiciels sont facilement stockées de manière non sécurisée et les portefeuilles matériels sont exposés au risque de perte, d’endommagement ou d’attaques de la chaîne d’approvisionnement. En raison des changements de personnel et des exigences de conformité des utilisateurs d’entreprise, la gestion des clés privées est plus difficile. 1.2 Signature à l’aveugle et incertitude des transactions : les utilisateurs approuvent souvent aveuglément les transactions parce que leurs portefeuilles affichent des données inconnues et sont vulnérables aux contrats malveillants, au phishing, à la fraude ou aux attaques frontales. 1.3 Gestion des approbations et des autorisations : Le portefeuille a une approbation illimitée et aucune date d’expiration par défaut, et ne dispose pas de fonctions de gestion des autorisations, ce qui augmente le risque que les applications malveillantes soient à court de fonds. 1.4 Interface web attaquée : L’interface web est vulnérable au détournement de DNS, à l’injection malveillante de JavaScript, etc., conduisant les utilisateurs à des contrats malveillants ou signant des transactions trompeuses. 1.5 Confidentialité : Une faible protection de la vie privée expose les utilisateurs au risque d’hameçonnage, de fraude ou d’attaques physiques. Les utilisateurs institutionnels ont besoin d’une protection renforcée de la vie privée en raison de la conformité ou des besoins commerciaux. 1.6 Fragmentation : Les différents portefeuilles manquent de cohérence dans l’affichage des transactions, le traitement des approbations, etc., ce qui augmente la difficulté d’apprentissage de l’utilisateur et les risques de sécurité. 2. Sécurité des contrats intelligents Les contrats intelligents sont une surface d’attaque majeure en raison de la transparence, et malgré les progrès de l’audit et des outils, il existe encore des vulnérabilités et des défis de développement. 2.1 Vulnérabilités contractuelles : y compris les risques de mise à niveau, les attaques réentrantes, les composants non audités, les défaillances du contrôle d’accès, la complexité des protocoles inter-chaînes et les nouveaux risques liés à la génération de code d’IA. 2.2 Expérience des développeurs, outils et langages de programmation : les outils manquent de préréglages de sécurité, de couverture de test inégale, d’une faible adoption de la vérification formelle, de défauts de compilateur et de limitations linguistiques, ce qui rend plus difficile le déploiement de contrats sécurisés. 2.3 Évaluation des risques du code on-chain : Le cadre d’évaluation des risques existant est difficile à appliquer aux contrats intelligents, et il est difficile pour les utilisateurs institutionnels de gérer les risques en raison de l’hypothèse que le code peut être modifié et centralisé. 3. Sécurité de l’infrastructure et du cloud L’infrastructure dépendante d’Ethereum (par exemple, les chaînes L2, les RPC, les services cloud) constitue une surface d’attaque, et la centralisation augmente le risque de pannes et de censure. 3.1 Deuxième chaîne de couche : Le fait de faire le lien entre la complexité des actifs, la preuve des erreurs du système et les risques de collusion avec le comité de sécurité peut entraîner une perte de fonds ou un gel des actifs. 3.2 Infrastructure RPC et nœud : S’appuyer sur un petit nombre de fournisseurs RPC et cloud peut bloquer l’accès des utilisateurs s’ils sont hors ligne ou censurés. 3.3 Vulnérabilités au niveau du DNS : le détournement de DNS, la saisie de noms de domaine et le phishing de noms de domaine similaires menacent la sécurité de l’accès des utilisateurs. 3.4 Chaîne d’approvisionnement logicielle et bibliothèques : Les bibliothèques open source sont vulnérables à l’injection de paquets malveillants ou au détournement de dépendances, et sont des vecteurs d’attaque. 3.5 Services de livraison frontale et risques associés : Si les plateformes CDN et d’hébergement cloud sont attaquées, elles peuvent fournir des frontaux malveillants et affecter la sécurité des utilisateurs. 3.6 Examen du niveau du fournisseur d’accès à Internet : Les FAI ou les pays peuvent accéder à Ethereum par le biais du blocage du trafic, du filtrage DNS, etc. 4. Protocole de consensus Le protocole de consensus Ethereum est stable, mais les risques à long terme doivent être améliorés pour améliorer la résistance. 4.1 Vulnérabilité du consensus et risque de récupération : Les cas limites (tels que la divergence du validateur ou le partitionnement du réseau) peuvent entraîner une stagnation du consensus ou une perte des fonds du validateur. 4.2 Diversité des clients : La diversité des clients protège le réseau, mais le taux d’adoption d’un petit nombre de clients est faible et doit encore être amélioré. 4.3 Concentration du jalonnement et de la dominance du pool : La concentration des accords de jalonnement liquide et des grands opérateurs peut entraîner des risques de capture ou d’homogénéisation de la gouvernance. 4.4 Lacunes non définies en matière de réduction sociale et de coordination : Il n’existe pas de mécanisme clair pour traiter les validateurs malveillants, et le processus de réduction sociale n’est pas encore mature. 4.5 Vecteurs d’attaque économiques et de la théorie des jeux : les attaques économiques telles que les attaques d’attrition, les sorties stratégiques et la manipulation des MEV n’ont pas été entièrement étudiées. 4.6 Risque quantique : L’informatique quantique peut casser la technologie de cryptage existante, et les schémas de résistance quantique doivent être conçus à l’avance. 5. Surveillance, réponse aux incidents et atténuation Les vulnérabilités de sécurité doivent être surveillées et traitées efficacement, mais les défis existants limitent l’efficacité. Contacter les équipes touchées : Équipes attaquées difficiles à contacter, ce qui retarde le rétablissement du financement. Problème croissant : difficulté de coordination interorganisationnelle et manque de contact en amont. Coordination des interventions : la collaboration entre plusieurs équipes peut entraîner de la confusion et réduire l’efficacité. Capacités de surveillance insuffisantes : la surveillance on-chain et off-chain est insuffisante, ce qui rend l’alerte précoce difficile. Accès à l’assurance : L’écosystème crypto manque d’options d’assurance traditionnelles, ce qui rend difficile l’atténuation des pertes. 6. Couche sociale et gouvernance La communauté et la gouvernance d’Ethereum sont confrontées à des risques à long terme qui affectent la sécurité globale. 6.1 Centralisation du staking : Un grand nombre de concentrations de staking peut conduire à la capture de la gouvernance, affectant les forks ou l’examen des transactions. 6.2 Concentration des actifs hors chaîne : détenteurs d’actifs hors chaîne...
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Le rapport inaugural du "Plan de Sécurité d'un Billion de Dollars" de la Fondation Ethereum : un aperçu des défis écologiques liés aux smart contracts, infrastructures et sécurité cloud… six grands défis écologiques.
La Fondation Ethereum a officiellement publié hier (10) le premier rapport du « Plan de sécurité d’un billion de dollars américains » « Aperçu des défis de sécurité » via la plate-forme X, couvrant six aspects : l’expérience utilisateur, les contrats intelligents, la sécurité de l’infrastructure et du cloud, le protocole de consensus, la surveillance, la réponse et l’atténuation des incidents, ainsi que la couche sociale et la gouvernance. (Synopsis : Nouvelle proposition d’Ethereum : architecture modulaire + amélioration de la confidentialité pour se conformer à la spécification des données RGPD de l’UE, quelles sont les fonctionnalités ? La Fondation Ethereum a annoncé le mois dernier le lancement de l’initiative « Trillion Dollar Security (1TS) », qui vise à garantir qu’Ethereum peut aider des milliards d’utilisateurs à détenir en toute sécurité plus de 1 billion de dollars d’actifs on-chain, et à donner aux entreprises, institutions et gouvernements la confiance nécessaire pour stocker et effectuer des transactions plus de 1 dans un seul contrat intelligent ou une seule application La valeur de milliards de dollars a propulsé Ethereum au rang d'« infrastructure de civilisation » de l’économie mondiale. Pas plus tard qu’hier (10), la Fondation Ethereum a officiellement publié le premier rapport du projet, « Security Challenges Overview » via la plateforme X. Le rapport identifie six défis de sécurité clés pour l’écosystème Ethereum et jette les bases de solutions aux problèmes prioritaires ultérieurs. La publication du rapport marque une étape importante dans la poursuite par Ethereum de normes de sécurité plus élevées. 0. Le mois dernier, nous avons annoncé l’initiative Trillion Dollar Security (1TS) : un effort à l’échelle de l’écosystème pour améliorer la sécurité d’Ethereum. Aujourd’hui, nous publions le premier rapport 1TS : un aperçu des défis de sécurité existants dans l’écosystème Ethereum. pic.twitter.com/R1dhY34pDT — Fondation Ethereum (@ethereumfndn) 10 juin 2025 Analyse détaillée des six défis de sécurité d’Ethereum Selon le rapport « Aperçu des défis de sécurité existants dans l’écosystème Ethereum », la Fondation Ethereum travaille avec des utilisateurs, des développeurs et des Sur la base des nombreux commentaires d’experts et d’institutions en matière de sécurité, des défis ont été identifiés dans les six domaines clés suivants : 1. L’interface avec laquelle les utilisateurs interagissent avec Ethereum est une source centrale de problèmes de sécurité, et une seule erreur due à l’atomicité (irréversibilité) des transactions peut causer des dommages importants. 1.1 Gestion des clés privées : Il est difficile pour les utilisateurs de gérer en toute sécurité les clés privées, les mnémoniques des portefeuilles logiciels sont facilement stockées de manière non sécurisée et les portefeuilles matériels sont exposés au risque de perte, d’endommagement ou d’attaques de la chaîne d’approvisionnement. En raison des changements de personnel et des exigences de conformité des utilisateurs d’entreprise, la gestion des clés privées est plus difficile. 1.2 Signature à l’aveugle et incertitude des transactions : les utilisateurs approuvent souvent aveuglément les transactions parce que leurs portefeuilles affichent des données inconnues et sont vulnérables aux contrats malveillants, au phishing, à la fraude ou aux attaques frontales. 1.3 Gestion des approbations et des autorisations : Le portefeuille a une approbation illimitée et aucune date d’expiration par défaut, et ne dispose pas de fonctions de gestion des autorisations, ce qui augmente le risque que les applications malveillantes soient à court de fonds. 1.4 Interface web attaquée : L’interface web est vulnérable au détournement de DNS, à l’injection malveillante de JavaScript, etc., conduisant les utilisateurs à des contrats malveillants ou signant des transactions trompeuses. 1.5 Confidentialité : Une faible protection de la vie privée expose les utilisateurs au risque d’hameçonnage, de fraude ou d’attaques physiques. Les utilisateurs institutionnels ont besoin d’une protection renforcée de la vie privée en raison de la conformité ou des besoins commerciaux. 1.6 Fragmentation : Les différents portefeuilles manquent de cohérence dans l’affichage des transactions, le traitement des approbations, etc., ce qui augmente la difficulté d’apprentissage de l’utilisateur et les risques de sécurité. 2. Sécurité des contrats intelligents Les contrats intelligents sont une surface d’attaque majeure en raison de la transparence, et malgré les progrès de l’audit et des outils, il existe encore des vulnérabilités et des défis de développement. 2.1 Vulnérabilités contractuelles : y compris les risques de mise à niveau, les attaques réentrantes, les composants non audités, les défaillances du contrôle d’accès, la complexité des protocoles inter-chaînes et les nouveaux risques liés à la génération de code d’IA. 2.2 Expérience des développeurs, outils et langages de programmation : les outils manquent de préréglages de sécurité, de couverture de test inégale, d’une faible adoption de la vérification formelle, de défauts de compilateur et de limitations linguistiques, ce qui rend plus difficile le déploiement de contrats sécurisés. 2.3 Évaluation des risques du code on-chain : Le cadre d’évaluation des risques existant est difficile à appliquer aux contrats intelligents, et il est difficile pour les utilisateurs institutionnels de gérer les risques en raison de l’hypothèse que le code peut être modifié et centralisé. 3. Sécurité de l’infrastructure et du cloud L’infrastructure dépendante d’Ethereum (par exemple, les chaînes L2, les RPC, les services cloud) constitue une surface d’attaque, et la centralisation augmente le risque de pannes et de censure. 3.1 Deuxième chaîne de couche : Le fait de faire le lien entre la complexité des actifs, la preuve des erreurs du système et les risques de collusion avec le comité de sécurité peut entraîner une perte de fonds ou un gel des actifs. 3.2 Infrastructure RPC et nœud : S’appuyer sur un petit nombre de fournisseurs RPC et cloud peut bloquer l’accès des utilisateurs s’ils sont hors ligne ou censurés. 3.3 Vulnérabilités au niveau du DNS : le détournement de DNS, la saisie de noms de domaine et le phishing de noms de domaine similaires menacent la sécurité de l’accès des utilisateurs. 3.4 Chaîne d’approvisionnement logicielle et bibliothèques : Les bibliothèques open source sont vulnérables à l’injection de paquets malveillants ou au détournement de dépendances, et sont des vecteurs d’attaque. 3.5 Services de livraison frontale et risques associés : Si les plateformes CDN et d’hébergement cloud sont attaquées, elles peuvent fournir des frontaux malveillants et affecter la sécurité des utilisateurs. 3.6 Examen du niveau du fournisseur d’accès à Internet : Les FAI ou les pays peuvent accéder à Ethereum par le biais du blocage du trafic, du filtrage DNS, etc. 4. Protocole de consensus Le protocole de consensus Ethereum est stable, mais les risques à long terme doivent être améliorés pour améliorer la résistance. 4.1 Vulnérabilité du consensus et risque de récupération : Les cas limites (tels que la divergence du validateur ou le partitionnement du réseau) peuvent entraîner une stagnation du consensus ou une perte des fonds du validateur. 4.2 Diversité des clients : La diversité des clients protège le réseau, mais le taux d’adoption d’un petit nombre de clients est faible et doit encore être amélioré. 4.3 Concentration du jalonnement et de la dominance du pool : La concentration des accords de jalonnement liquide et des grands opérateurs peut entraîner des risques de capture ou d’homogénéisation de la gouvernance. 4.4 Lacunes non définies en matière de réduction sociale et de coordination : Il n’existe pas de mécanisme clair pour traiter les validateurs malveillants, et le processus de réduction sociale n’est pas encore mature. 4.5 Vecteurs d’attaque économiques et de la théorie des jeux : les attaques économiques telles que les attaques d’attrition, les sorties stratégiques et la manipulation des MEV n’ont pas été entièrement étudiées. 4.6 Risque quantique : L’informatique quantique peut casser la technologie de cryptage existante, et les schémas de résistance quantique doivent être conçus à l’avance. 5. Surveillance, réponse aux incidents et atténuation Les vulnérabilités de sécurité doivent être surveillées et traitées efficacement, mais les défis existants limitent l’efficacité. Contacter les équipes touchées : Équipes attaquées difficiles à contacter, ce qui retarde le rétablissement du financement. Problème croissant : difficulté de coordination interorganisationnelle et manque de contact en amont. Coordination des interventions : la collaboration entre plusieurs équipes peut entraîner de la confusion et réduire l’efficacité. Capacités de surveillance insuffisantes : la surveillance on-chain et off-chain est insuffisante, ce qui rend l’alerte précoce difficile. Accès à l’assurance : L’écosystème crypto manque d’options d’assurance traditionnelles, ce qui rend difficile l’atténuation des pertes. 6. Couche sociale et gouvernance La communauté et la gouvernance d’Ethereum sont confrontées à des risques à long terme qui affectent la sécurité globale. 6.1 Centralisation du staking : Un grand nombre de concentrations de staking peut conduire à la capture de la gouvernance, affectant les forks ou l’examen des transactions. 6.2 Concentration des actifs hors chaîne : détenteurs d’actifs hors chaîne...