Le 23 décembre, CertiK, la plus grande entreprise de sécurité Web3 au monde, a publié le « Rapport de sécurité Web3 Skynet Hack3D 2025 », qui présente systématisation des principaux incidents de sécurité et des tendances des risques dans le domaine du Web3 au cours de l'année écoulée. Le rapport indique que l'industrie du Web3 se développe rapidement dans un environnement de marché en reprise et avec des perspectives réglementaires plus claires, mais les risques de sécurité ne se sont pas atténués pour autant, et elle reste confrontée à des défis de sécurité systémiques.
Le rapport montre qu'en 2025, le domaine du Web3 a connu 630 incidents de sécurité, causant des pertes totales d'environ 3,35 milliards de dollars, soit une augmentation de 37 % par rapport à 2024 ; bien que le nombre d'incidents ait diminué de 137 par rapport à l'année précédente, la perte moyenne par attaque a atteint 5,322 millions de dollars, soit une augmentation de 66,6 % en glissement annuel, soulignant la tendance des attaquants à se concentrer sur des cibles à haute valeur.
Les attaques de la chaîne d'approvisionnement augmentent les pertes annuelles
En termes de type d'attaque, les attaques de la chaîne d'approvisionnement sont devenues la source de risque causant les plus grandes pertes en 2025. Bien que seulement deux incidents liés aient été enregistrés sur l'année, les pertes cumulées ont atteint 1,45 milliard de dollars, soit près de la moitié des pertes totales de l'année. Parmi eux, l'incident survenu chez Bybit en février représente la grande majorité des pertes.
Selon le rapport, l'incident de sécurité survenu chez Bybit en février 2025 a causé des pertes d'environ 1,4 milliard de dollars, considéré comme l'un des plus grands vols d'actifs cryptographiques à ce jour. Les attaquants n'ont pas directement pénétré le système de l'exchange, mais ont infiltré l'environnement de développement d'un prestataire de services de portefeuille multi-signatures tiers, en insérant un code malveillant dans le processus de signature, contournant ainsi le mécanisme d'approbation multiple.
CertiK souligne dans le rapport que des incidents similaires reflètent le fait que les attaquants concentrent leurs ressources sur les prestataires de services critiques et les outils de base, plutôt que sur un protocole unique, et que la sécurité de la chaîne d'approvisionnement est devenue un risque systémique incontournable.
Fortes occurrences d'attaques de phishing, l'IA devient un "amplificateur"
En termes de fréquence d'attaque, le phishing reste la menace de sécurité la plus courante en 2025. Le rapport montre que 248 incidents d'attaques de phishing ont été enregistrés sur l'année, causant des pertes d'environ 723 millions de dollars, un nombre légèrement supérieur à celui des attaques exploitant des vulnérabilités de code (240 incidents).
Il est à noter que CertiK estime que ce chiffre est probablement sous-estimé. Un grand nombre d'attaques de phishing et d'arnaques ciblant les utilisateurs individuels n'ont pas été officiellement divulguées, en particulier les attaques d'ingénierie sociale avec des pertes faibles ou survenant hors chaîne.
Le rapport souligne que la popularisation de l'intelligence artificielle réduit considérablement le seuil technique des attaques de phishing. Les attaquants commencent à utiliser l'IA pour générer des sites de phishing, des pop-ups de portefeuille et des messages frauduleux multilingues hautement réalistes, et les combinent avec des données on-chain et des contenus de médias sociaux pour un "ciblage précis". Les méthodes de défense traditionnelles reposant sur la détection d'erreurs grammaticales ou de caractéristiques de modèles deviennent progressivement obsolètes.
Une réglementation plus claire, la sécurité passe de "poste de coût" à "infrastructure"
Face à la montée des risques, le rapport note également des changements positifs dans l'environnement réglementaire mondial. Les progrès législatifs aux États-Unis concernant les stablecoins et la transparence des actifs numériques envoient des signaux politiques plus clairs à l'industrie ; le cadre MiCA de l'UE, les sandboxs réglementaires de Singapour et de Hong Kong poussent également le Web3 vers une phase de développement plus normative.
CertiK indique dans le rapport qu'avec l'entrée continue des institutions et des fonds conformes, la capacité de sécurité évolue d'une "correction a posteriori" vers un élément d'infrastructure dans la conception et l'exploitation des projets. Que ce soit pour les porteurs de projet ou les utilisateurs individuels, la sécurité n'est plus une option, mais une variable clé affectant la viabilité à long terme.
En conclusion, le rapport prévoit que pour l'année à venir, les attaques d'usurpation pilotées par l'IA, les intrusions complexes dans la chaîne d'approvisionnement et les attaques d'ingénierie sociale ciblant les utilisateurs individuels continueront d'évoluer. Dans ce contexte, seuls les projets qui intègrent la sécurité dans la conception de l'architecture, les processus de développement et l'expérience utilisateur pourront se démarquer dans la nouvelle vague de compétition du Web3.
Rapport complet : https://indd.adobe.com/view/6935ac85-c644-4048-9e27-1d310549aa0a
