Au-delà du « théâtre de sécurité » : la sécurité des portefeuilles crypto entre dans l'ère de la vérifiabilité

Source: OKX

D'ici 2025, le Web3 entrera dans une nouvelle phase d'utilisation à plus grande échelle et plus fréquente, et les portefeuilles évolueront d'un simple outil de stockage vers un véritable système d'exploitation pour les transactions. Le cabinet d'études Fortune Business Insights estime que le marché des portefeuilles de cryptomonnaie atteindra environ 12,2 milliards de dollars en 2025 et pourrait atteindre 98,57 milliards de dollars d'ici 2034.

L'expansion du côté des utilisateurs est également évidente : a16z crypto a estimé dans son rapport « State of Crypto 2025 » qu'il y a environ 40 à 70 millions d'utilisateurs actifs, avec environ 716 millions de détenteurs d'actifs crypto qui « détiennent des actifs mais ne sont pas nécessairement actifs sur la blockchain » ; le rapport de Crypto.com Research indique également que le nombre mondial de détenteurs de cryptomonnaie est passé de 681 millions au premier semestre 2025 à 708 millions.

L'envers de cette croissance est l'amplification simultanée des risques de sécurité. Il ne s'agit plus seulement de savoir si le smart contract présente des vulnérabilités, mais d'intercepter les risques aux points critiques de l'utilisateur, comme cliquer sur des liens, connecter des portefeuilles, signer des autorisations et traiter des transactions.

Dans l'univers on-chain, la « surface d'attaque » dépasse souvent les vulnérabilités des smart contracts et est plus fréquemment liée au phishing, aux faux domaines, à l'usurpation de service client et à la fraude aux autorisations en tant que « risques pré-transactionnels ». Par exemple, Chainalysis définit les « crypto drainers » comme des outils qui ne volent pas les mots de passe, mais trompent les utilisateurs pour qu'ils connectent leurs portefeuilles et approuvent des autorisations malveillantes. Les données publiques montrent qu'en 2024, les pertes liées à ces outils avoisinaient les 500 millions de dollars.

Par conséquent, renforcer la sécurité des portefeuilles Web3 ne se concentrera plus uniquement sur les vulnérabilités des smart contracts, mais devra se focaliser sur l'interception proactive des risques aux points d'interaction clés, appelée « sécurité pré-transactionnelle ».

Dans ce contexte industriel, la « sécurité » devient un défi difficile à résoudre par un simple slogan et ressemble davantage à une capacité de gouvernance nécessitant une validation continue : la vérifiabilité, la traçabilité et la divulgation en temps opportun deviennent des critères importants pour les utilisateurs lors du choix d'un portefeuille.

Des « revendications de sécurité » à une « liste de capacités de sécurité compréhensibles »

Pendant longtemps, les projets de portefeuilles ont utilisé des arguments comme « nous avons été audités », « nous avons un whitepaper » et « nous nous concentrons sur la gestion des risques ». Cependant, avec l'industrialisation des arnaques, ces revendications perdent leur crédibilité. Le moment où les utilisateurs rencontrent des problèmes survient souvent lors d'interactions brèves comme la signature d'autorisations. Les « crypto drainers » décrits par Chainalysis en sont un exemple typique : les attaquants se déguisent en pages légitimes pour vider les actifs.

Les données publiques poussent l'industrie vers la « compréhensibilité ». Security Week a rapporté qu'en 2024, près de 500 millions de dollars de pertes ont été causés par des outils de vidage de portefeuille, avec plus de 332 000 victimes. Ces événements ne nécessitent pas de pirater des systèmes complexes, mais reposent sur l'incompréhension des risques par l'utilisateur. Lorsque le risque principal provient du « fossé de lisibilité côté utilisateur », les fabricants de portefeuilles doivent faire passer la sécurité de l'ingénierie backend à une expression orientée utilisateur.

Par conséquent, de plus en plus de portefeuilles commencent à « industrialiser » leurs capacités de sécurité : ils ne se contentent plus de dire « nous sommes sécurisés », mais décomposent les actions de protection en une liste compréhensible—quels tokens sont signalés comme à haut risque, quelles transactions déclenchent des alertes, quelles adresses ou DApps sont bloquées. L'essence de ce changement est de transformer la sécurité d'un « récit de qualification » en un « récit d'interaction ».

Suivant cette tendance, la page du Centre de sécurité du portefeuille OKX offre un exemple typique d'« expression sous forme de liste ». La page décrit explicitement trois « défenses de première ligne » : détection des risques de tokens, surveillance des transactions et filtrage des adresses, expliquant leurs fonctions de manière simple. L'avantage est que même si les utilisateurs ne comprennent pas la terminologie technique, ils peuvent rapidement identifier l'action qu'ils effectuent.

Cliquez pour visiter : Rapport d'audit de la page de sécurité du portefeuille OKX

Plus important encore, la « compréhensibilité » ne signifie pas « parler tout seul ». Sur la même page, le portefeuille OKX fournit un lien vers les « rapports d'audit », reliant la « liste de capacités » à la « vérification par des tiers ». De plus, la collection de rapports d'audit dans son centre d'aide détaille la portée de l'audit, le nombre de problèmes trouvés et l'état des réparations, permettant aux utilisateurs de passer de la « compréhension des capacités » à la « vérification des preuves ».

Cette transition ne vise pas à rendre la sécurité plus grandiose, mais plus actionnable : alors que la fraude repose de plus en plus sur la tromperie, la capacité d'un portefeuille à placer des alertes de risque aux points d'interaction et à expliquer « où se trouve le danger, pourquoi c'est dangereux et que faire » devient un élément clé de la sécurité.

Informations d'audit « publiquement vérifiables » : transformer l'approbation de tiers en une « chaîne de preuves vérifiables »

Dans l'industrie des portefeuilles, les audits ont longtemps fait face à un problème pratique : les informations sont dispersées, ce qui rend difficile pour les utilisateurs de comprendre rapidement qui a audité, quoi, et si les problèmes ont été corrigés. Cette fois, l'action du portefeuille OKX consiste à consolider les rapports d'audit tiers disponibles publiquement dans un portail unifié, indiquant directement la date de publication et de mise à jour, permettant aux utilisateurs de voir qu'il s'agit d'une fenêtre d'information activement maintenue.

La portée de la divulgation ne se limite pas aux « smart contracts ». En prenant l'entrée de CertiK du 23 mai 2024 comme exemple, le contenu de l'audit couvre clairement les chemins de code clés sur mobile et frontend : composants iOS/Android, composants UI ReactJS, contrôleurs JS interagissant avec le keyring, et modules SDK du portefeuille, tout en fournissant la méthodologie d'audit.

Sur la même page, l'entrée de SlowMist est plus proche du « nouveau paradigme » de l'évolution des portefeuilles : les objets auditables tels que les comptes de smart contract AA, les portefeuilles sans clé MPC et les modules de transaction Ordinals sont tous répertoriés ; de plus, les informations sur le module de sécurité de la clé privée sont présentées séparément, affirmant directement que « les clés privées ou phrases mnémoniques sont uniquement stockées sur l'appareil de l'utilisateur et ne sont pas transmises à des serveurs externes ».

La valeur de cet « affichage centralisé » réside dans la liaison des « nouvelles capacités » avec la « vérifiabilité » : alors que l'industrie se tourne vers des architectures complexes comme AA et MPC, ce dont les utilisateurs ont besoin n'est pas une déclaration disant « nous sommes très sécurisés », mais des preuves rapidement vérifiables.

Selon le portefeuille OKX, après cette mise à niveau, les nouveaux rapports d'audit peuvent être mis à jour directement via la configuration sans nécessiter de nouvelle version. Si ce mécanisme fonctionne de manière stable à long terme, il raccourcit efficacement le chemin « vérifiable de l'extérieur ».

Pour les utilisateurs, cela signifie que lorsqu'un audit est ajouté, l'entrée publique peut refléter plus rapidement le « dernier état », réduisant l'incertitude. Pour les observateurs tiers, il est plus facile de former une chronologie traçable. Cela transforme « l'approbation de tiers » en une chaîne de preuves continuellement auditable, plutôt qu'en une simple présentation ponctuelle d'un PDF.

Cet article est une soumission contribuée et ne représente pas les vues de BlockBeats.