Les hacks et piratages font malheureusement partie de l’écosystème Web3. Il y en a chaque semaine et personne ne nie le problème. En 2022, avec les records atteints par le marché, notamment le Bitcoin (BTC), les hacks et les arnaques, sans même parler des simples bugs techniques, se sont multipliés. En cumulé, nous sommes à presque deux milliards d’euros de pertes déjà à mi-2022 selon Chainalysis !

Le problème est pris très au sérieux par la communauté crypto. Le capital-risqueur Andreessen Horowitz vient d’ailleurs de lever 51,5 millions de dollars pour le projet Sardine, un produit permettant de détecter instantanément tout type de fraude dans le Web3.

Vous souhaitez obtenir des conseils pour vous protéger en tant qu’investisseur face aux hacks et aux arnaques ? Réponses dans cet article.

Que sont les hacks ou les arnaques dans le secteur crypto ?

La définition du hack (piratage)

Le piratage, que l’on désigne par le terme anglais hack, est une intrusion dans un protocole, souvent en raison de l’exploitation d’une faille de sécurité. Il permet le détournement de cryptomonnaies vers des portefeuilles externes ou l’octroi de prêts non autorisés.

Les hacks arrivent quasiment chaque semaine dans le monde de la blockchain et des cryptomonnaies. Si vous en avez peur, c’est tout à fait normal ! Mais il existe des solutions pour s’en protéger et on en parlera dans la dernière partie de cet article.

Les piratages ne se limitent pas aux crypto monnaies ! De manière générale, les cyber attaques ont fortement augmenté depuis le covid, sans doute en lien avec l’explosion du télétravail à ce moment là.

Tous les types d’entreprises sont malheureusement concernés…

La définition de l’arnaque

Les arnaques (ou scams en anglais) sont plus rares, mais bien plus sournoises que les hacks. En effet, le piratage est rarement quelque chose de voulu pour les créateurs d’un protocole. C’est tout au plus une négligence grave. 

Or, dans le cas d’une arnaque, le projet a été conçu pour vous tromper. Prenons un premier exemple : la création du Squid Game Token. Présenté comme un projet soutenu par Elon Musk, de nombreux investisseurs ont été attirés par l’appât du gain. La montée du cours du SQUID a alors aidé avec un mouvement de FOMO. Et puis patatras, c’était en fait une pure arnaque, le code informatique du protocole étant corrompu dès sa conception. Nous en parlerons plus en détail juste après.

Le second exemple, c’est la sombre histoire de Crypto Gouv, un influenceur anonyme ayant convaincu sa communauté de lui prêter de l’argent. La promesse ? Des rendements mirobolants. Sauf que Crypto Gouv est parti avec la caisse sans laisser de traces… 

On ne le dira jamais assez, mais ne répondez pas à des personnes vous promettant des gains mirobolants et ne confiez jamais de l’argent à des illustres inconnus.

Les types de hacks les plus importants du secteur crypto

L’exploitation d’une faille de sécurité d’un protocole, le hack le plus courant

C’est le hack le plus simple à comprendre et à expliquer. Un protocole, c’est avant tout un code informatique rédigé par des développeurs. Or, il arrive que le code d’un protocole ne soit pas suffisamment sécurisé. Il y a donc une backdoor (porte dérobée) dans laquelle des pirates informatiques peuvent s’infiltrer.

Les nouveaux protocoles veulent aller vite et, souvent, la sécurité est négligée. C’est la raison pour laquelle les hackers aiment viser des protocoles récents de nouveaux projets cryptos. En outre, les lignes de codes de ces projets sont souvent en open source (c’est à dire ouvertes au publique), donc il « suffit » de regarder, de repérer une faille et de trouver un moyen de rentrer dans le protocole. L’une des portes dérobées les plus répandues, c’est tout simplement un mot de passe en clair (visible) dans le code

Une fois que le pirate accède au serveur, il peut exploiter la faille à son bénéfice, souvent par l’envoi de jetons vers son wallet crypto personnel. Il agit toujours assez vite, car les transactions frauduleuses sont immédiatement repérées et le code est rapidement corrigé. Mais c’est souvent trop tard pour les jetons perdus.

🙏 Fort heureusement, il existe aussi des pirates bienveillants (whitehats), dont le boulot est d’aider les protocoles à corriger ces failles

La prise de contrôle d’un protocole (« attaque des 51 % »), un hack qui fait peur

Depuis la création de Bitcoin, on craint la fameuse attaque des 51 %. Bien qu’elle soit techniquement quasi impossible pour Bitcoin, elle est possible pour d’autres protocoles.

L’attaque des 51 % signifie la prise de contrôle d’un protocole par une personne ou un groupe d’individus qui obtiendrait une majorité leur donnant tout pouvoir. Dans le cadre de Bitcoin, c’est le contrôle d’au moins la moitié de la puissance de calcul du réseau. Pour les blockchains utilisant le consensus de la preuve d’enjeu (Proof-of-Stake), c’est le contrôle de la moitié des jetons immobilisés.

Cette attaque est objectivement possible et elle est même déjà arrivée. L’une des plus connues, celle de Ronin Network, est un exemple de tout ce qu’il ne faut pas faire. Ce protocole n’avait que… 9 validateurs ! Résultat, il suffisait que 5 d’entre eux s’entendent pour valider ou refuser les transactions qu’ils souhaitaient… et 625 millions de dollars ont été détournés.

Les types d’arnaques les plus importants du secteur crypto

Le vol des données des utilisateurs

⚠️ Vous avez laissé la clé privée de votre wallet crypto sur le cloud ? Très mauvaise idée. Vous avez répondu à un e-mail vous demandant de modifier votre mot de passe sur une plateforme ou de donner votre clé privée ? Vous êtes victime d’un phishing

Le vol des données des utilisateurs est, de loin, le type d’arnaque le plus courant. Des hackers se font passer pour d’autres et vous demandent des données très confidentielles.

Sachez que jamais une plateforme ou un projet crypto digne de ce nom ne vous demandera votre clé privée ou votre mot de passe. C’est TOUJOURS une arnaque. De même, votre clé privée doit être conservée sur un papier.

Soyez vigilants concernant les faucets crypto ! Bon nombre d’entres eux sont en fait des arnaques ayant pour objectif d’accéder à vos données ou d’installer un virus sur votre ordinateur.

Les rug pulls

Le rug pull, c’est littéralement partir avec la caisse. C’est une arnaque courante et préparée dès le lancement d’un protocole, qui doit paraître le plus légitime possible. En effet, dans un rug pull, nous avons toujours une équipe plus ou moins connue, un token listé, un projet semblant sérieux avec un joli whitepaper et des soutiens notoires.

Bien entendu, après quelques minutes de recherche, on peut repérer très facilement que le projet n’est en fait pas soutenu par Elon Musk. Malheureusement, quelques investisseurs non avertis sont attirés par l’appât du gain et… passent à l’action. 

Avec l’augmentation de la demande du token, son prix monte. Mais, ce que les investisseurs ne savent pas, c’est que l’équipe (ou une personne) possède une majorité des jetons du faux projet. Ils peuvent ainsi en retirer du marché à leur guise, faisant monter artificiellement le prix. Résultat, un beau jour, souvent quelques heures après l’envolée du prix, les arnaqueurs vendent tous les tokens… dont le cours s’effondre pour ne plus jamais remonter.

Cette arnaque est un soft rug pull, car elle implique l’achat de tokens par beaucoup de monde. En effet, le protocole n’est pas corrompu dès la conception. Pour ce dernier, c’est le hard rug pull.

En 2022, un Français de 24 ans, Aurélien Michel, met en place un rug pull autour d’une collection de NFTs baptisée « Mutant Ape Planet ».

Après de fausses promesses pour convaincre les investisseurs (création d’un jeton, d’un metaverse, etc.) il arrive à vendre pour 2,9 millions de dollars l’ensemble de la collection. Puis tout est envoyé dans Tornado Cash, un outil (malheureusement) bien connu pour effacer les traces des hackers, avant que les fonds soient envoyés sur son compte Binance personnel.

Il a finalement été arrêté début janvier 2023 pour être jugé aux Etats-Unis.

La corruption du code informatique d’un protocole

Le hard rug pull signifie que, dès la conception du protocole, ce dernier est fait pour arnaquer les investisseurs. En effet, le code source est corrompu. C’est par exemple le cas du Squid Game Token, dont le code n’autorisait la vente que pour une seule adresse, celle du créateur.

Résultat, au moment où il l’a décidé, le pirate a vendu ses jetons SQUID, dont il possédait bien entendu la majorité, ce qui a fait irrémédiablement chuter le cours.

Pourquoi y a-t-il autant d’arnaques ou de hacks dans le secteur crypto ?

Un secteur très jeune et des protocoles peu sécurisés

L’écosystème crypto est né en 2009, ce qui reste assez jeune. En conséquence, de nombreuses erreurs sont encore commises

La première, c’est la rapidité avec laquelle veulent aller certains projets. En allant trop vite, les fondateurs peuvent négliger la sécurité de leur protocole, alors qu’elle est vitale pour diminuer le risque de subir un hack.

Du fait de la jeunesse du secteur et d’une réglementation inégale, les arnaques sont nombreuses. Elles sont amplifiées par le nombre relativement faible d’investisseurs (notamment pour les projets crypto récents), ce qui permet de prendre plus facilement le contrôle d’un protocole.

Hack et arnaque : souvent une exploitation de la naïveté de certains utilisateurs

Evidemment, il ne s’agit pas d’accuser les victimes. Mais soyons clairs : si vous donniez votre clé privée ou de l’argent à un inconnu sur Internet, il faudra alors vous en prendre à vous-même.

Bien entendu, l’arnaqueur demeure le seul coupable. Cependant, la naïveté de certaines personnes est parfois inquiétante. Donc, je le répète encore une fois : jamais une personne ou entreprise sérieuse ne vous demandera votre clé privée ou votre mot de passe. 

Comment se protéger en tant qu’investisseur et repérer en amont une arnaque ?

Nous avons déjà abordé certains aspects de la protection individuelle. Cette partie sera donc un résumé plus détaillé.

La première protection passe par vous-même, en protégeant comme il se doit votre clé privée et votre mot de passe. Ensuite, préférez un acteur réglementé parmi les plateformes d’échange, ou au moins réputé comme sérieux, à défaut d’être enregistré en France.

Hadrien
Les conseils de Hadrien

Vous pouvez consulter la liste noire de l’Autorité des Marchés Financiers dédiée aux acteurs de la crypto afin de vérifier si une plateforme est légitime avant tout investissement.

Si vous investissez directement dans un projet crypto, évitez de le faire sur les dires d’un influenceur et étudiez le projet vous-même. Lisez bien le whitepaper et étudiez notamment ce que l’on appelle les tokenomics, soit la répartition des jetons. Par exemple, s’il s’agit d’un projet en lien avec la DeFi (Decentralized Finance), vous pouvez aller vérifier la TVL (Total Value Locked). Si elle est significative, c’est bon signe pour le projet. Si aucune information n’est présente, c’est mauvais signe.

La promesse d’une forte rentabilité sans risque doit également vous alerter (théoriquement ça n’existe pas, puisque risque et rentabilité sont liés). Si on vous promet par exemple un APY (Annual Percentage Yield) supérieur à 100%, c’est soit une arnaque, soit c’est de toute façon très risqué.

Hadrien
Les conseils de Hadrien

Do Your Own Research : DYOR. Cette expression largement répandue signifie qu’avant d’investir, vous devez effectuer un travail de recherche et vous forgez votre propre avis. Ne faites pas confiance à une source unique, surtout si vous investissez une somme conséquente !

Enfin, lorsque vous commencez à investir sans passer par une plateforme, utilisez un wallet de type MetaMask ou une clé Ledger

Comment se protéger d’un hack ? La formation est la clé pour éviter la claque !

Formez-vous ! Si vous repérez les arnaques en amont, que vous ne répondez pas aux messages privés douteux et ne tombez pas dans le piège du 20 % de rendement facilement, vous ne devriez pas avoir de problème.

Concernant les hacks, c’est un peu plus complexe. Il convient de s’assurer que le protocole est bien sécurisé et cela pourrait impliquer d’aller voir le code source. Pour être rassuré, investissez sur des projets audités de manière indépendante. Il y en a de plus en plus et c’est une excellente nouvelle.