Solana est moins victime de piratages que les réseaux concurrents : Certora explique pourquoi
Les fonds perdus à la suite de piratages et d'exploits sont proportionnellement moins élevés sur Solana que sur les réseaux concurrents - Pourquoi ?
- Publié:
- Édité:
Alors que les défenseurs de la blockchain célèbrent une année incroyable pour l'industrie, les acteurs malveillants de l'espace ont profité de leur propre course au taureau.
Les analystes rapportent que 2025 a été une année exceptionnelle pour les actes délictueux. Au cours du seul premier semestre de l'année, les mauvais acteurs ont volé plus de 1,93 milliards de dollars en crimes liés aux crypto-monnaies, éclipsant le montant perdu à cause des hacks et des escroqueries sur l'ensemble de l'année 2024.
Mais malgré des niveaux sans précédent de malveillance dans la crypto, Solana est, au moins techniquement, resté résolument sûr. Alors que les réseaux EVM ont subi plus de 220 millions de dollars de piratages en 2025, les applications basées sur Solana sont sorties largement indemnes, perdant ~18 millions de dollars d'exploits à ce stade de l'année.
En s'entretenant exclusivement avec Seth Hallem, PDG de Certora, une société de sécurité blockchain de premier plan, SolanaFloor a plongé dans les détails pour aller au fond de ce vaste écart et découvrir si Solana est vraiment un espace intrinsèquement plus sûr pour opérer.
Pourquoi Solana subit-il moins de piratages que l'EVM ?
Un simple coup d'œil à la liste des piratages de DefiLlama’https://defillama.com/hacks">DefiLlama’brosse un tableau peu réjouissant. En prenant un instantané d'un mois d'exploits cryptographiques, il est évident que les chaînes EVM sont largement surreprésentées, en particulier par rapport à Solana et à ses SVM adjacents. En outre, il convient de noter que le piratage de Texture par Solana en juillet était l'un des trois seuls exploits sur le réseau, contre des dizaines pour les chaînes basées sur les EVM.
dir="ltr">
Alors que les piratages de bourses, comme l'exploit ByBit de 1,4 milliard de dollars, se classent systématiquement parmi les événements de sécurité les plus importants et les plus dommageables, les failles dans la logique du protocole sont de loin la vulnérabilité la plus couramment exploitée par les acteurs malveillants.
Hallem attribue le volume de piratages et d'exploits de Solana à son architecture de programmation inhérente.
“Les contrats Solana sont construits sur Rust, qui est un langage de programmation bien plus largement adopté et familier que Solidity. Chaque fois qu'il y a une courbe d'apprentissage pour un développeur, il y a un ensemble entièrement nouveau de règles et de pratiques de sécurité à apprendre&hellip ; Solana a été développé avec des concepts tels que la réutilisation et la mise à niveau à l'esprit dès le début. Cela permet aux développeurs de s'appuyer sur une bibliothèque de blocs de construction qui ne cesse de s'enrichir. Plus vous pouvez centraliser les fonctionnalités et la réutilisation, plus vous avez la possibilité d'investir massivement dans la sécurité au profit de l'ensemble de la communauté” .
En outre, Hallem a expliqué qu'avec un réseau considérablement plus grand, le paysage EVM offre un terrain beaucoup plus fertile pour les crapules malfaisantes des dessous sombres de la crypto’économie. Le TVL d'Ethereum est ~595% plus grand que celui de Solana, sans tenir compte des couches 2. Les crypto-monnaies ne sont pas toujours les mêmes.
“Les chaînes EVM restent une cible plus importante et plus rentable - à mesure que Solana se développe, le nombre d'attaques ciblant les chaînes Solana augmentera également.”
Malgré sa position en tant que caractéristique de l'éthique fondamentale des crypto’monnaies, l'autocontrôle est une sorte d'épée à double tranchant. L'économie onchain peut être un terrain de jeu financier abondant avec des opportunités illimitées, mais il suffit d'un clic de lien malveillant ou d'une interaction contractuelle sans méfiance pour que les utilisateurs se retrouvent sans rien.
Les défenseurs de la crypto-monnaie prêchent le “don’t trust, verify” mantra ad nauseum, mais la réalité est que la grande majorité des utilisateurs de blockchain ne sont pas capables d'analyser les contrats onchain, open-source.
“Don’trust, verify” est peut-être encore plus superflu sur Solana, où la plupart des applications exploitent des protocoles à source fermée. Les utilisateurs se trouvent donc dans une situation délicate : Si vous n'êtes pas en mesure de vérifier, comment pouvez-vous faire confiance ?
“L'utilisateur final moyen gagne peu à analyser un contrat Rust, mais il devrait être vigilant quant à l'identité des auditeurs de confiance dans l'espace, qui a audité chaque programme Solana qu'il a l'intention d'utiliser, et ce que l'auditeur avait à dire au sujet de ce programme.
C'est là que les entreprises de sécurité réputées comme Certora gagnent leurs galons et s'affirment comme les héros méconnus de l'économie onchain. Hallem compare les auditeurs de sécurité de la blockchain aux avocats experts du monde du web2, chargés de faire abstraction des détails incroyablement compliqués des contrats onchain, de signaler les vulnérabilités potentielles et de travailler aux côtés des équipes de développeurs pour patcher les vecteurs d'attaque.
“La sécurité sur la chaîne est une question à mille milliards de dollars, et c'est en fin de compte la raison d'être d'entreprises comme Certora. La meilleure façon d'y réfléchir est de prendre l'éthique web3 selon laquelle "le code est une loi" et de l'appliquer par analogie. La plupart d'entre nous n'ont ni l'expertise ni la patience de lire chaque loi adoptée par le Congrès américain. Au lieu de cela, nous nous appuyons sur des sources secondaires plus accessibles - des articles de presse qui expliquent les lois qui nous concernent et, en cas de doute, des avocats spécialisés dans l'interprétation de la loi. Le monde du web3 est le même - des cabinets d'audit comme Certora agissent comme des intermédiaires, travaillant avec des développeurs de contrats pour assurer la sécurité, mais agissant également comme un interprète de la confiance pour la communauté des utilisateurs finaux.”
.
En tant que l'un des auditeurs les plus fiables de Solana, Certora est indéniablement l'un des interprètes de confiance préférés du réseau.
Il n'y a pas de doute que Certora est l'un des interprètes de confiance préférés du réseau.
Les géants de la DeFi de Solana, y compris des plateformes comme Jito et Kamino, qui détiennent plusieurs milliards de TVL, se tournent régulièrement vers Certora pour des audits de sécurité afin d&rsquo,assurer la sécurité de leurs utilisateurs. En août 2025, Certora avait obtenu plus de 9 milliards de dollars de fonds sur Solana, un chiffre qui a probablement augmenté au cours des dernières semaines suite à la récente flambée des prix de $SOL&rsquo.
Strong>
Strong>.
Garder une longueur d'avance sur les pirates
La sécurité de la blockchain est un jeu délicat du chat et de la souris. Les pirates développent constamment de nouveaux vecteurs et stratégies d'attaque, ce qui signifie que même les applications qui peuvent être considérées comme sûres doivent se tenir au courant des nouvelles tendances en matière d'exploitation.
p style="text-align : justify ;">p style="text-align : justify")
Hallem affirme que l'approche d'audit de Certora suit une approche à deux volets. Grâce à l'équipe d'auditeurs très expérimentés de Certora et à des technologies telles que les outils de vérification formelle, la position proactive de l'entreprise protège à la fois les applications et les utilisateurs.
Hallem affirme que l'approche d'audit de Certora suit une double approche.
“La force de Certora en tant qu'auditeur repose sur deux piliers clés : les personnes et la technologie. Les gens viennent en premier, et nous sommes fiers de rassembler un groupe talentueux d'experts en sécurité web3 et de leur fournir un environnement qui les encourage à faire leur meilleur travail. Pour mettre nos équipes dans les meilleures conditions de réussite, nous affectons toujours au moins deux auditeurs à un projet, et nous innovons constamment dans notre processus d'audit."
Pour les autres, il s'agit d'un travail de longue haleine et de longue haleine.
En plus d'affecter plusieurs auditeurs à chaque projet, Certora utilise également des outils de sécurité puissants pour identifier les vulnérabilités.
“La technologie est le deuxième pilier de ce que nous faisons - nous construisons des outils innovants, à la pointe de l'industrie, que nous utilisons pour trouver des vulnérabilités dans les contrats intelligents et, de plus en plus, pour guider nos auditeurs vers les zones suspectes d'un contrat qui nécessitent une enquête plus approfondie.”
La technologie est le deuxième pilier de ce que nous faisons.
Les piles de vérification formelle telles que Certora Prover, propriété de la société, comparent le bytecode des contrats intelligents au comportement attendu d'un code, en analysant les états et les chemins du contrat pour mettre en évidence les vecteurs d'attaque potentiels.
“Les attaquants innovent eux aussi, et pour tenter de garder une longueur d'avance, nous suivons deux voies disparates. La première consiste à s'assurer que nous sommes toujours au courant des derniers vecteurs d'attaque et de la manière dont ces vecteurs peuvent avoir un impact sur nos clients, mais il s'agit en fin de compte d'une perspective réactive. La seconde consiste à utiliser la vérification formelle, la technologie de base au cœur de Certora, pour garantir mathématiquement l'absence de catégories entières de défaillances qui peuvent rendre un contrat vulnérable.”
La vérification formelle est un outil qui permet d'identifier et d'identifier les vecteurs d'attaque les plus importants.La vérification formelle est largement défendue par les leaders d'opinion en matière de sécurité au sein de Solana, y compris le fondateur de Kamino, Marius Ciubotariu, et bien sûr, le père fondateur de Solana Labs, Anatoly Yakovenko.
Responsabilité de l'auditeur
L'une des plus grandes idées fausses qui imprègne l'espace cryptographique est la notion selon laquelle les protocoles audités sont imperméables aux exploits. La réalité inconfortable est que les audits de sécurité de la blockchain ne sont en aucun cas une garantie que certains protocoles et applications sont sûrs à utiliser.
Les audits de sécurité de la blockchain ne sont en aucun cas une garantie de sécurité.
Au contraire, les crypto-natifs devraient considérer les audits comme un effort authentique et honnête fait par des experts pour protéger les gens au mieux de leurs capacités. Hallem estime que si un protocole audité est piraté, la responsabilité de l'exploit incombe en fin de compte à l'application, et non à l'auditeur.
“Les auditeurs jouent un rôle clé dans l'établissement de la confiance de l'écosystème web3, et dans cette position, la réputation d'un cabinet d'audit est primordiale. À l'instar d'un contrôleur fiscal, je pense que la responsabilité d'un contrôleur n'est pas liée au piratage ou non d'un protocole, mais plutôt à l'honnêteté du contrôleur. De nombreuses entreprises ont réussi à dissimuler des abris fiscaux et d'autres manœuvres illégales à leurs auditeurs fiscaux, et tant que l'auditeur a fait un effort de bonne foi pour mener un audit approfondi et complet, la responsabilité de ces choix incombe à l'entreprise, et non à l'auditeur. Dans l'espace web3, nous ressentons une obligation similaire de procéder à une analyse approfondie du code de nos clients et de produire un rapport honnête de nos conclusions. Cependant, nous ne sommes que les conseillers de nos clients - nous ne contrôlons pas totalement leurs décisions quant au choix du logiciel à publier et à la manière de le faire - et compte tenu de la nature de notre travail, celui-ci est toujours incomplet - les attaquants innovent et les vulnérabilités reposent de plus en plus sur des interactions qui vont au-delà du code que nous auditons.”
La responsabilité de l'entreprise est engagée.
Les comparaisons avecWeb2 mises à part, Hallem fait une observation pertinente sur le rôle des auditeurs de blockchain dans une industrie qui adore jouer au jeu du blâme. Malgré tous les progrès réalisés dans l'industrie de la blockchain, les participants doivent encore rester critiques, vigilants et objectifs, sans faire une confiance aveugle aux applications et aux entreprises de sécurité.
Les auditeurs de la blockchain ont un rôle à jouer dans l'industrie de la blockchain.
“La véritable réponse à la sécurité du web3 se trouve bien au-delà de l'audit en tant que point unique de défaillance - l'industrie a besoin d'une solution plus large et plus complète aux défis de sécurité du web3, et en tant qu'entreprise, Certora vise à fournir cette image plus large. Les vulnérabilités des contrats intelligents ne disparaîtront pas, mais nous pouvons tirer des leçons d'autres industries où une combinaison de technologies et une mentalité de "défense en profondeur" ont donné lieu à une approche en couches qui nous permet de nous sentir en sécurité dans nos interactions en ligne. La même chose peut et doit s'appliquer à web3 au fur et à mesure que l'industrie mûrit.
Le crypto-monnaie restera probablement, au moins dans un avenir prévisible, le Far West de la finance. Tant que l'économie onchain continuera d'offrir un terrain fertile pour les exploits et l'argent sans permission, l'espace continuera d'être en proie à des acteurs néfastes et extractifs.
Tout comme les mauvais acteurs persisteront, les bons acteurs servent de contrepoids. Les entreprises de sécurité comme Certora, bien qu'elles ne garantissent pas une sécurité absolue, constituent sans doute la meilleure défense contre les actes malveillants.
Philosophie
Lire la suite sur SolanaFloor
Pourquoi Star Atlas a-t-il besoin de sa propre couche 1 ?
Voici tout ce que vous avez peut-être manqué de l'été de Star Atlas.
SolanaFloor s'entretient avec le PDG de Star Atlas Michael Wagner
SolanaFloor s'entretient avec Michael Wagner, PDG de Star Atlas
