2023 devrait être l'année de la sécurité des utilisateurs en chaîne

L’année prochaine sera une grande année pour la construction de « Crypto technologiques ».

Alors que le côté investissement de la Crypto (alias « money Crypto») a du mal à réparer les violations grotesques de confiance dans la Finance centralisée (CeFi), la technologie Crypto doit se concentrer encore plus intensément sur l'amélioration de la sécurité des utilisateurs en chaîne.

Ce problème doit être abordé plus que jamais – et heureusement, le travail a déjà commencé. Les transactions d’auto-garde et peer-to-peer (P2P) permises par la blockchain sont peut-être l’essence même de la Crypto . Tout travail visant à améliorer cela est une tendance positive qui aura des impacts profondément bénéfiques et durables sur l’ensemble de l’écosystème Crypto .

Bill Hughes est avocat principal et directeur des questions de réglementation mondiale chez ConsenSys Software Inc. Cet article fait partie de Crypto 2023 .

La leçon à retenir de FTX et d’autres débâcles de CeFi n’est pas seulement que « ces investissements dans les actifs numériques auraient dû être réglementés… hier ». Au lieu de cela, la désintermédiation des transactions à l'aide de logiciels sur les réseaux peer-to-peer mondiaux pourrait grandement contribuer à éviter ce type d'échecs. En d’autres termes, la Finance décentralisée (DeFi) pourrait résoudre ce problème.

Le problème avec cet argument, bien sûr, est que le profil de risque de DeFi LOOKS très différent de celui de CeFi. Pour que le Finance sans intermédiaires décolle, les protocoles doivent être non seulement utiles mais aussi sûrs. DeFi ne « répare » les choses que si son profil de risque est suffisamment faible pour que les gens ordinaires se sentent suffisamment en sécurité pour réellement l'utiliser.

Aujourd’hui, les utilisateurs de DeFi sont confrontés à une multitude de menaces importantes que la technologie n’a pas encore rattrapées. Les mauvais acteurs disposent de nombreux vecteurs d’attaque. Et les nouvelles d’exploits spectaculaires et d’innombrables escroqueries poussent certains à s’en aller dans la frustration, la peur et, dans le pire des cas, la ruine financière. Beaucoup d’autres ne deviennent tout simplement jamais utilisateurs en raison des difficultés et des risques impliqués.

On dit que le succès de Jeff Bezos avec Amazon se résume à sa prise de conscience d' une vérité incontournable : tout dépend du client. En 2023, les constructeurs doivent commencer à penser que « tout dépend de l'utilisateur ».

Comme il s’agit encore d’un début de « Crypto technologique », les développeurs se sont naturellement concentrés directement sur le fonctionnement de la Technologies . Ils ont fait de grands progrès à cet égard, et d’autres sont à venir. ONE ne devrait être critiqué pour avoir mis les bœufs avant la charrue.

Cependant, faire fonctionner la technologie n’est certainement pas la seule préoccupation. L’expérience utilisateur au sein du système est très importante, et une grande partie de cette expérience dépend de sa sécurité. Aujourd’hui, ce n’est tout simplement pas assez sûr.

Voir également : Qu’apportera 2023 aux CBDC ?

Mis à part le fait qu’un changement de paradigme technologique nécessitera de la patience et un appétit pour les essais et les erreurs, laisser chaque utilisateur braver seul les risques en chaîne signifiera que presque ONE ne se présentera.

Les utilisateurs doivent être mieux équipés pour éviter les prédateurs. Les fraudeurs déploient des contrats intelligents malveillants. Ils se livrent au phishing par courrier électronique, via les réseaux sociaux et par messages directs. Certains usurperont les interfaces utilisateur frontales. Ces menaces posent de sérieux défis.

Lutter contre ces escroqueries courantes commence par les comprendre. Les interfaces utilisateur telles que MetaMask et d'autres portefeuilles logiciels jouent ici un rôle important, à la fois en fournissant des informations sur les transactions dans lesquelles les utilisateurs s'engagent et en concevant des moyens de prévenir la fraude et les escroqueries.

Une attaque courante est l’attaque « allocation symbolique ». C'est là qu'un escroc conçoit subrepticement un contrat afin qu'un utilisateur, lors de l'exécution d'une transaction impliquant un petit nombre de jetons, approuve réellement un contrôle illimité sur ses fonds. Le propriétaire de l'adresse malveillante peut alors voler les fonds restants de l'utilisateur. Vous voyez des attaques très similaires ciblant les jetons non fongibles (NFT).

À l’heure actuelle, les portefeuilles et autres interfaces travaillent sur de meilleures façons d’indiquer aux utilisateurs en temps réel quelles approbations ils doivent signer. Les entreprises qui se concentrent sur la lutte contre le phishing et la détection des fraudes avant transaction proliféreront en 2023 – elles ont une proposition de valeur indubitable.

Malgré les meilleurs efforts de la communauté et des institutions Ethereum , la compréhension générale de la manière de rester en sécurité dans la Crypto est terne. Les blogs, les fils de discussion Twitter, les FAQ et autres moyens nécessitent beaucoup d'efforts et un faible retour sur investissement. Les leçons sont normalement abstraites, volontaires et n’ont pas nécessairement d’impact sur le comportement réel.

C'est comment et quand vous éduquez qui sont essentiels pour améliorer la sécurité. Les constructeurs de Crypto technologiques en sont conscients et travaillent sur les moyens de compléter la formation générale (qui reste importante malgré ses limites) avec des mécanismes permettant de mieux informer les utilisateurs sur les risques spécifiques des transactions en temps réel.

Voir aussi : 23 prédictions Blockchain pour 2023 / Analyses

Une approche consiste à faire appel à des prestataires de services de sécurité. Ces tiers, notamment les plateformes, les organisations autonomes décentralisées (DAO) ou encore les opérateurs CeFi, sont experts quant aux menaces visant leurs communautés particulières. L’idée est qu’ils collectent des renseignements en temps réel sur les attaques contre leurs communautés, qu’ils sont déjà incités à collecter.

Vos plateformes préférées pourraient vous avertir avant de vous exposer à une menace. Les protocoles et les applications peuvent concevoir des messages de sécurité (c'est-à-dire des fenêtres contextuelles indiquant quelque chose comme « ce que dit votre fournisseur de sécurité à propos de cette transaction »), qui pourraient informer les gens avant d'exécuter une transaction risquée. De tels systèmes pourraient s’avérer efficaces à l’avenir, si les gens permettent à leur portefeuille de recevoir ces messages.

Les réseaux sociaux sont un terrain fertile pour ces escrocs. Les plateformes comme Twitter devraient faire davantage pour mettre fin à ces fraudes, mais la technologie Crypto explore également de nouvelles façons d'aider les utilisateurs à identifier les escroqueries en temps réel.

Par exemple, les équipes derrière MetaMask et Laconic se sont associées sur une nouvelle initiative visant à protéger de manière proactive les utilisateurs contre le phishing. Ce projet, appelé MobyMask , cultive une communauté de journalistes qui identifient et regroupent les escroqueries par phishing. Ces informations peuvent être intégrées aux applications pour éviter que les utilisateurs ne se fassent avoir.

La loi et l’ordre du monde réel devraient jouer un rôle à part entière : ces escrocs sont des criminels. En fait, les opérations de phishing gagnent en ampleur et en complexité et sont de plus en plus liées aux organisations criminelles internationales. Nous devrions adopter une collaboration entre la Crypto et les forces de l’ordre traditionnelles, car beaucoup d’entre nous en ont assez de simplement jouer en défense.

Nous devrions assister à davantage d’introspection en 2023 sur les risques présentés par la technologie fondamentale de la blockchain. Certains conviennent déjà que la sécurité des utilisateurs augmenterait avec l’amélioration d’une fonctionnalité centrale de l’espace blockchain : la clé privée.

Les clés privées et les phrases de récupération Secret (SRP) constituent depuis longtemps un problème de sécurité pour les utilisateurs, et 2023 apportera davantage d'avertissements et de protections. Nous verrons également de nouvelles intégrations de portefeuilles logiciels avec différentes solutions de stockage à froid de portefeuilles matériels, ce qui rendra plus difficile pour les criminels d'accéder aux fonds d'une victime.

Voir aussi : 10 prédictions pour l’avenir de la Crypto en 2023

Mais la Crypto technologique ira au-delà de ces mesures et s’orientera vers des solutions telles que le calcul multipartite (MPC). Un exemple de MPC implique une authentification multifacteur, impliquant spécifiquement qu'un utilisateur partage sa clé entre un portefeuille local et un serveur de signature. Ces fragments fonctionneraient ensemble lorsqu'une transaction doit être signée, mais protégeraient contre une perte de fonds si l'un ou l'autre était compromis.

Vous assisterez également à d’autres débats en 2023 sur des concepts tels que « l’abstraction de compte ». Bien décrite par le portefeuille Argent et le co-fondateur Ethereum , Vitalik Buterin , l'abstraction de compte implique la mise à jour Ethereum lui-même pour rendre essentiellement programmables toutes les adresses, pas seulement les contrats intelligents. Cela permettrait à la Crypto technologique d'explorer davantage d'options pour protéger les portefeuilles et améliorer la récupération des fonds perdus ou volés.

Le chœur de voix appelant au développement de l'abstraction des données ne cesse decroître . Les arguments en faveur de cette solution deviennent de plus en plus convaincants. Cela devrait s’accélérer en 2023.

La sécurité des utilisateurs est également directement affectée par la manière dont fonctionne et agit la communauté des développeurs technologiques de Crypto . Il existe une manière intelligente et responsable de concevoir un logiciel blockchain. Ces principes, qui incluent le changement progressif, la vérifiabilité et la fiabilité, ont été formulésdans une certaine mesure , mais ils doivent être élargis, affinés et adoptés plus largement.

Les services tels que l’audit de sécurité des contrats intelligents devraient être étendus et devenir plus courants, en particulier lorsqu’un contrat intelligent a des applications financières explicites. Des analyses telles que le récent « Rug Pull Report » de Solidus Labs et d'autres évaluations sobres des escroqueries en chaîne sont également absolument nécessaires si l'écosystème veut faire des évaluations honnêtes de ses progrès.

Enfin, la communauté devrait également réfléchir sérieusement à la possibilité de simplement rire des incidents dans lesquels un développeur blesse les utilisateurs par négligence ou fraude.

Le capital-risque et les autres investisseurs qui n’hibernent pas pendant cet hiver Crypto devraient rechercher des projets dans lesquels investir en priorité dans la sécurité des utilisateurs. Autrement dit, s’ils sont vraiment « là pour la technologie ». Cela pourrait être une stratégie d’investissement judicieuse : utilité et sécurité égalent adoption.

Money Crypto devrait appliquer une liste de contrôle de diligence raisonnable pour des éléments tels que les principes de développement responsable, les audits et la transparence du code. Exiger ces éléments comme enjeux de table pour réaliser un investissement aidera non seulement à identifier les bons fondateurs et projets, les bons fondateurs qui se concentrent sur la sécurité, mais encouragera également les Marchés à adopter des pratiques de construction plus durables et plus sûres.

Le dernier point, et peut-être le plus important, est que si nous ne donnons pas la priorité à la sécurité, les régulateurs le feront en notre nom. Peu de choses sont plus sûres.

En 2023, nous commencerons à constater un plus grand retrait des décideurs politiques en matière de protection des consommateurs. Ils s’occuperont d’abord du CeFi, car c’est là que se trouve actuellement le feu. Ensuite, si des personnes sont encore assez fréquemment blessées dans l’espace P2P, les régulateurs détermineront les règles nécessaires pour mieux protéger les utilisateurs du réseau P2P.

Voir aussi : L'adoption de DeFi, ZK Tech, NFT et plus continuera d'augmenter en 2023

Peut-être que ces règles s’appliqueront uniquement aux développeurs de logiciels à but lucratif. Peut-être que les régulateurs diront simplement « c'est trop dangereux » et écriront en conséquence des règles restreignant directement les utilisateurs. Nous ne le savons T nécessairement. Mais nous le savons, il convient de le souligner : si la sécurité des utilisateurs ne s’améliore pas de manière significative à mesure que l’adoption augmente, alors les réseaux programmables P2P et les applications qu’ils contiennent seront réglementés par les autorités de protection des investisseurs et/ou des consommateurs.

Ceci est préoccupant à la fois parce qu’il est peu probable que les régulateurs sachent comment aider sans dégrader sensiblement l’innovation ou le choix des utilisateurs, et parce que les responsables de la protection des consommateurs, les procureurs généraux des États en particulier, disposent de pouvoirs incroyablement étendus pour tenir les fournisseurs de services et les développeurs de produits responsables des blessures des utilisateurs. Il est de loin préférable de mettre de l’ordre dans la maison de la cryptographie technologique plutôt que de laisser les régulateurs le faire.

L’écosystème P2P prospérera s’il est suffisamment sûr pour que les gens ordinaires puissent l’utiliser. Nous n’en sommes tout simplement pas encore là, mais nous pouvons y arriver. Les constructeurs qui feront de la sécurité des utilisateurs une priorité en 2023 contribueront à construire cet espace qui connaît l’adoption la plus spectaculaire. Et ces constructeurs en seront les leaders.