Ethereum reste le choix préféré des hackers éthiques, avec Polygon, Arbitrum, Optimism et Solana en hausse : Immunefi

Malgré une baisse d'intérêt par rapport à 2023, Ethereum reste la blockchain de choix pour les hackers éthiques en crypto, avec Polygon, Arbitrum, Optimism et Solana gagnant en popularité.

C'est ce qui ressort d'une analyse de l'écosystème des hackers éthiques compilée par la plateforme de récompenses de bugs et de services de sécurité Immunefi dans son rapport 2024, visant à cartographier les intérêts, défis et opportunités des whitehats dans le web3. Mais l'argent n'est pas tout, les répondants étant également motivés par la résolution des défis techniques des applications décentralisées et la création d'opportunités de carrière.

Préférences en matière de blockchain et de technologie

Ethereum est resté une forte préférence parmi les whitehats, avec 87% des répondants attirés par la blockchain, contre 94% en 2023. Polygon a poussé Solana hors de la deuxième place, atteignant un intérêt de 59%, bien que Solana ait également gagné en pourcentage, passant de 32% en 2023 à 42% en 2024 et reste le cinquième réseau le plus préféré par les whitehats.

Les relativement nouveaux Arbitrum et Optimism Ethereum Layer 2 ont pris la troisième et la quatrième place, avec respectivement 47% et 45% des répondants intéressés par les chaînes. BNB Chain, Base, Avalanche, Cosmos et Tezos étaient également très surveillés par les whitehats, bien que Near, Polkadot et Fantom aient perdu de leur popularité depuis 2023.

Préférences des blockchains par les whitehats. Image : Immunefi.

La plupart des whitehats (58%) ont déclaré ne pas intégrer les outils d'IA de plus en plus disponibles dans leurs pratiques de sécurité, bien que 42% aient confirmé utiliser des services tels que ChatGPT, Gemini, Olympia Chat, CensysGPT, Codeium, Blackbox AI et Claude pour aider à l'audit des contrats intelligents et d'autres évaluations de sécurité. Cependant, seulement 4% des répondants étaient extrêmement confiants dans la capacité des outils d'IA à identifier facilement les vulnérabilités.

Vecteurs d'attaque les plus courants

La validation incorrecte des entrées, signifiant qu'une application ne valide pas adéquatement une entrée qu'elle reçoit, est devenue la vulnérabilité d'exploitation la plus courante identifiée par les hackers éthiques cette année, augmentant significativement de 9% à 47%.

Ces vulnérabilités ont remplacé les attaques de réentrance (permettant à des parties malveillantes de drainer à plusieurs reprises des fonds de contrats intelligents en exploitant l'ordre d'exécution du code), qui sont tombées à 16% contre 43% en 2023. Les calculs incorrects et le contrôle d'accès faible ont été identifiés comme les deuxième et troisième vulnérabilités les plus courantes cette année à 35% et 32%, respectivement.

La plupart des whitehats (74%) ont constaté que les surfaces d'attaque dans la crypto augmentaient. Cela a légèrement diminué par rapport à 2023, cependant, et la majorité (88%) a également convenu que les mesures de sécurité des projets s'amélioraient.

Les plus grandes menaces dans le secteur du web3 restent l'exploitation des vulnérabilités (63%), le phishing et l'ingénierie sociale (57%), les menaces internes (47%), l'exploitation de logiciels tiers (25%) et les acteurs étatiques (23%), a déclaré Immunefi.

Incitations et défis des récompenses de bug bounty

La taille de la récompense a de nouveau été citée comme le principal facteur (61%) pour les whitehats lors de la sélection des programmes de récompenses, bien que cela ait diminué par rapport à 66% en 2023. La portée, la confiance dans la marque et la communication efficace étaient également très appréciées.

Immunefi affirme exploiter la plus grande communauté de sécurité blockchain avec plus de 45 000 chercheurs, économisant plus de 25 milliards de dollars de fonds d'utilisateurs à travers des protocoles comme Polygon, Optimism, Chainlink, The Graph, Synthetix et Sky (anciennement MakerDAO) d'être volés.

L'entreprise a versé plus de 100 millions de dollars en récompenses de hackers éthiques et de chercheurs au cours des trois dernières années, avec 183 millions de dollars de récompenses actuellement disponibles sur sa plateforme. La plus grande récompense de hacker éthique facilitée par Immunefi était une récompense de 10 millions de dollars pour une vulnérabilité découverte dans le prot de chaîne croisée de Wormhole.