Un nouveau rapport du Lazarus Security Lab de Bybit suscite le débat : le gel des fonds blockchain est possible sur 16 réseaux, selon une analyse de 166 protocoles.
Summary
Que révèle le rapport de Bybit sur le gel des fonds blockchain ?
L’équipe de Bybit a analysé 166 blockchains avec une approche mixte : un balayage assisté par IA et une révision manuelle. De cela, il est ressorti que 16 réseaux disposent de fonctions actives de blocage des fonds et que 19 autres pourraient les activer avec des mises à jour mineures.
Selon David Zong, Head of Group Risk Control and Security, dans ce contexte, de nombreuses chaînes introduisent des mécanismes pragmatiques pour répondre rapidement aux menaces. Cependant, le débat reste ouvert sur l’équilibre entre sécurité et décentralisation.
Gel des fonds blockchain : quels mécanismes existent ?
Les fonctions identifiées se répartissent en trois catégories. Tout d’abord, le gel hardcoded est inscrit dans le code du réseau, comme sur BNB Chain et VeChain. De plus, le gel basé sur la configuration permet aux validateurs ou aux fondations de suspendre des comptes, comme sur Sui et Aptos. Enfin, le gel des fonds on-chain agit via des smart contracts, comme sur HECO.
En particulier, ces outils incluent la liste noire blockchain, les filtres de transactions et les mises à jour de configuration rapides. Cela dit, les modalités d’intervention et les contrôles de gouvernance varient sensiblement entre les réseaux.
Exemples concrets : que s’est-il passé en 2019 et en 2022 ?
En 2022, BNB Chain a utilisé une liste noire codée en dur pour stopper une exploitation sur le bridge de 570 millions de dollars, empêchant ainsi les hackers de monétiser.
Encore, en 2019, VeChain a gelé 6,6 millions de dollars après une violation. Plus récemment, Sui a bloqué 162 millions liés au hack de Cetus ; Aptos a quant à lui introduit des outils de blacklisting peu après.
Vechain commente la nouvelle
VeChain a commenté la nouvelle en déclarant n’avoir « jamais utilisé de fonction « cachée » de gel des fonds dans son protocole ».
De plus, Vechain a déclaré que « les accusations contenues dans l’étude clickbait produite par le ByBit Lazarus Security Lab sont en fait erronées et nuisibles à sa réputation ».
« La réalité est très différente de ce que suggère le rapport de ByBit: VeChain a créé une fois, avec le soutien total de la communauté, une liste de blocage pour protéger l’écosystème en réponse à un vol grave qui a compromis un seul portefeuille VeChain », a également commenté Vechain.
Comment fonctionne la méthodologie du rapport ?
Le framework soutenu par l’IA a recherché dans les codes des modules relatifs aux listes noires, aux filtres de transactions et aux mises à jour de configuration. Évidemment, chaque résultat a été vérifié manuellement pour éviter les faux positifs. De plus, l’équipe a classé les chaînes qui bloquent les fonds en fonction de la disponibilité des fonctionnalités.
Cependant, la fonction de gel ne permet pas une utilisation arbitraire : les réseaux évaluent en effet attentivement les mesures d’urgence, les mécanismes de gouvernance et la suspension des validateurs pour contenir d’éventuelles attaques, tout en protégeant les droits des utilisateurs.
Quelles sont les implications pour la gouvernance et la transparence ?
Selon Bybit, la conclusion est claire : la transparence concernant ces outils devrait être intégrée dans la gouvernance on-chain.
Communiquer à l’avance les conditions d’activation contribue à renforcer la confiance des utilisateurs et à prévenir d’éventuels abus, tout en conservant la capacité de réagir rapidement aux incidents.
Dans l’ensemble, le rapport Lazarus de Bybit souligne la nécessité de trouver un équilibre entre la protection des actifs et la décentralisation.
Dans cet équilibre, le gel des fonds on-chain reste un point crucial du débat entre résilience opérationnelle et principes de la finance sans permission.
