Les exchanges crypto ne peuvent pas payer une cybersécurité de 4 millions de dollars par an

Partager l’article
EN BREF
  • Les innovations dans le domaine de la crypto entraînent de nombreuses incertitudes et failles de sécurité.

  • Plus il faut de temps pour contrôler les portefeuilles, plus l'équipe de cybersécurité est susceptible de repérer une attaque.

  • Un système de défense de première classe pour un exchange crypto centralisé nécessite des investissements coûteux.

The Trust Project est un consortium international d'organismes de presse basé sur des normes de transparence.

L’industrie de la cryptomonnaie a commencé à évoluer activement en 2017 après le boom des projets ICO. Il est encore à un âge précoce, donc des innovations gigantesques se produisent à plusieurs niveaux: blockchains plus avancées, nouveaux modèles commerciaux, simplification des interfaces utilisateurs. Ces changements provoquent de nombreuses incertitudes et failles de sécurité qui ne peuvent pas être corrigées à temps, offrant ainsi une immense opportunité aux criminels: au moins 1 milliard de dollars se sont évaporés des soldes des exchanges vers les portefeuilles des escrocs en 2019.


La disproportion des portefeuilles froids et chauds

Les incidents passés ont affecté les exchanges de toutes tailles – des plus petites aux plus grandes comme Binance. Ce qui a uni la plupart des intrusions, c’est que les exchanges stockaient une partie importante des actifs des clients dans des portefeuilles actifs. Cela enfreint considérablement les meilleures pratiques en matière de stockage des actifs numériques: généralement, 98% des actifs ou plus doivent rester dans des portefeuilles froids. Cela conduit toujours à l’insolvabilité de l’exchange.

Cette proportion de portefeuille froid / chaud garantit que même en cas d’attaque réussie, cela ne sera pas catastrophique pour un exchange, et le fonds d’assurance de la société (comme le SAFU de Binance) couvrira les pertes.


La cybersécurité est sur le point de faire d’une attaque un processus extrêmement coûteux

Retirer un portefeuille chaud est la dernière étape d’une attaque. Le travail de tout exchange consiste à mettre un système de défense robuste devant ses portefeuilles, ce qui ferait d’une attaque un processus très long.

Plus il faut de temps pour contrôler les portefeuilles, plus l’équipe de cybersécurité est susceptible de repérer une attaque. J’ai plusieurs cas de travail avec des exchanges cryptos dans mon expérience. Sur cette base, j’ai identifié cinq principales mesures de sécurité que les exchanges cryptos ont tendance à négliger. Ces mesures de sécurité se composent de cinq points:

  1. Système de contrôle et d’équilibre – il répartit la responsabilité entre plusieurs parties. Ainsi, la falsification d’une seule partie ne ruine pas la défense. Il incorpore généralement une restriction d’accès aux serveurs de production uniquement via un ordinateur «bastion» utilisé uniquement à cette fin.
  2. Serveurs et postes de travail renforcés, qui rendent impossible certains types d’attaques contre les systèmes. Par exemple, un comptable n’a pas besoin d’accéder à Python (langage de programmation) sur son ordinateur portable.
  3. Système de gestion des vulnérabilités pour détecter les vulnérabilités révélées dans les applications sur le matériel d’entreprise. La plupart des attaques commencent par trouver et exploiter des logiciels non corrigés.
  4. Un processus pour garder toutes les applications à jour. Après avoir repéré un logiciel vulnérable, il est essentiel de le mettre à jour dans les deux premières semaines. Cela nécessite souvent un processus de correctif manuel de tous les employés de l’entreprise, ce qui est extrêmement difficile. Rappels réguliers avec formation de sensibilisation ou utilisation d’un logiciel de gamification de sécurité.
  5. Détection et réponse aux attaques en cours. Aucun système n’est sécurisé, donc un attaquant de première classe s’introduira un jour dans un réseau d’entreprise. La bonne chose est qu’ils laissent de nombreuses traces lors de l’attaque. Ainsi, les cyber-équipes analysent ces traces en temps réel et arrêtent les attaques avant qu’elles ne réussissent.

Toutes les attaques réussies sur les exchanges ont exploité l’un de ces points:

  • OKEx, qui a perdu 5,6 millions de dollars en août de cette année lors d’une «attaque à 51%», manquait le 1er et le 5e point de son système de défense.
  • Binance, avec les 40 millions de dollars de pertes en 2019, a manqué des éléments vitaux dans les cinq points de sa défense.

La cybersécurité est une partie très coûteuse de la structure des coûts

De l’autre côté, Coinbase a démontré de fortes mesures de sécurité aux bons endroits. L’attaque contre eux impliquait une vulnérabilité zero-day, un événement sporadique, indiquant que les criminels ne trouvaient pas de moyens plus faciles d’entrer dans l’entreprise. Mais même avec une «arme» aussi puissante entre les mains des escrocs, les cyber-équipes de Coinbase a détecté des traces d’activité malveillante sur les postes de travail et arrêté l’attaque.

Un tel système de défense de première classe pour un exchange crypto centralisé nécessite des investissements coûteux et prend beaucoup de temps pour démarrer: trois à six mois pour embaucher les meilleurs ingénieurs, six à 12 mois pour construire la première version du système de défense et 4 millions de dollars + par an pour que tout fonctionne. Le budget est généralement réparti à parts égales sur les salaires et les licences de logiciels.

 

Lorsqu’un exchange n’effectue pas ce niveau d’investissement, cela finit mal pour ses clients. La plupart des entreprises n’ont pas les moyens de payer de telles dépenses et c’est une question de temps quand elles perdent l’argent de leurs clients.

REMARQUE: Les opinions exprimées ici sont celles de l’auteur et ne représentent pas ou ne reflètent pas nécessairement les vues de BeInCrypto.

Écrit par Tim Ismilyaev, PDG et fondateur de Mana Security. Tim est un expert en cybersécurité, spécialisé dans la protection des infrastructures. Il a construit son propre système de cybersécurité qui aide les entreprises à gérer les vulnérabilités. Lancement d’un fonds spéculatif crypto algorithmique et création d’un système de sécurité à partir de zéro, qui gère toutes les tentatives d’attaques lors d’une vente de tokens et passe plusieurs contrôles de sécurité.

 

Share Article

The opinion of BeInCrypto staff in a single voice.

SUIVRE CET AUTEUR