Récemment, Gu Ronghui, cofondateur de CertiK, a eu une conversation au coin du feu avec CZ (Zhao Changpeng), le fondateur de Binance, pour explorer ensemble les facteurs clés derrière la transformation du marché, notamment les avancées technologiques, les changements dans les attentes des utilisateurs et l'évolution de l'environnement réglementaire mondial.

Auteur de l'article : CertiK

Ils ont non seulement partagé leurs perspectives uniques sur l'avenir de l'industrie, mais ont également analysé en profondeur les défis de sécurité que le monde crypto doit affronter et l'évolution du cadre réglementaire, offrant des perspectives profondes sur l'innovation, la sécurité et la conformité. Les médias blockchain PANews ont rapporté en profondeur cette conversation fascinante, voici le texte intégral du rapport :

La mainstreamisation des cryptomonnaies en cours, le fondateur de CertiK et CZ discutent des moyens de survie sur le marché crypto

Le Bitcoin a franchi la barre des 100 000 dollars, marquant un moment important et historique. Cela représente non seulement une étape dans les prix, mais aussi une concentration des sentiments du marché, des flux de fonds et des changements dans l'écosystème, signalant que l'industrie crypto entre dans une toute nouvelle phase.

En ce moment important, CertiK a publié une vidéo captivante de près de 40 minutes, où son cofondateur Gu Ronghui et le fondateur de Binance, CZ, se sont réunis à Abou Dhabi pour une conversation approfondie. Les deux figures de proue de l'industrie crypto ont discuté des facteurs clés derrière la transformation du marché, notamment les avancées technologiques, les changements dans les attentes des utilisateurs et l'évolution de l'environnement réglementaire mondial. Ils ont non seulement partagé leurs perspectives uniques sur l'avenir de l'industrie, mais ont également analysé en profondeur les défis de sécurité que le monde crypto doit affronter et l'évolution du cadre réglementaire, offrant des perspectives profondes sur l'innovation, la sécurité et la conformité.

À travers cette vidéo, nous avons pu témoigner de la manière dont deux leaders de l'industrie utilisent leur vision et leur expérience pour guider l'industrie vers un avenir plus mature, sûr et conforme.

De gauche à droite : Gu Ronghui, cofondateur de CertiK, CZ, fondateur de Binance, Nikita Sachdev, PDG de Luna Media Corp

Cette année, le marché crypto a déjà subi des pertes de plus de 2 milliards de dollars, les incidents hors chaîne devenant des zones de sinistre de sécurité.

Le marché crypto entre dans la vision du mainstream, élargissant considérablement l'espace de croissance pour les utilisateurs et les fonds, tout en posant des exigences plus élevées sur la base de confiance en matière de sécurité. En termes d'échelle des attaques, le marché crypto devient une zone de sinistralité de sécurité, avec des pertes de 2 milliards de dollars déjà causées par des attaques de hackers et des phishing au cours du premier semestre 2024, dépassant la perte totale de 2023. Cela souligne davantage l'importance des organismes de sécurité dans le domaine crypto pour la cybersécurité et les audits de code.

CZ et Gu Ronghui ont également souligné l'importance de la sécurité cryptographique lors de l'entretien et ont mentionné les difficultés et les défis dans le processus d'audit, en particulier les menaces imprévisibles, qui demeurent un problème.

Selon Gu Ronghui, le modèle d'attaque actuel a changé de manière significative par rapport aux précédents. Bien que de plus en plus d'entreprises et de projets commencent à accorder de l'importance à l'audit de code et à collaborer avec des entreprises de sécurité externes comme CertiK, certaines attaques de contrats intelligents ont été efficacement contenues, mais le montant des attaques a en fait augmenté cette année. Cela est dû non seulement à l'évolution des stratégies d'attaque des attaquants, mais aussi à des lacunes dans la gestion des clés et la sécurité du personnel interne des équipes de projet, aggravant ainsi le risque d'attaques.

Il a également souligné que pour la plupart des applications Web3 complexes, elles sont en quelque sorte un mélange de systèmes Web3 et Web2. En général, la partie Web3 est principalement constituée de contrats intelligents, tels que le code déployé sur diverses blockchains, tandis que la partie Web2 couvre la gestion des clés et d'autres services en arrière-plan. Bien que de plus en plus de personnes prennent conscience de l'importance de l'audit de code de la partie Web3, l'attention portée à la sécurité de la partie Web2 reste à un niveau très préliminaire, et de nombreux propriétaires de projets ne prennent pas suffisamment en compte la sécurité de la partie Web2. Dans certains cas, ils ne souhaitent pas rendre public le code source de la partie Web2, surtout en ce qui concerne la gestion des clés. Cela ajoute sans aucun doute un défi plus important à la sécurité globale du marché crypto. Il est à noter qu'un seul maillon faible peut menacer la sécurité de l'ensemble du système, ce qui est très préoccupant.

À cet égard, CZ a complété avec son expérience en soulignant que la plupart des gens, lorsqu'ils parlent de sécurité, pensent généralement à la sécurité des systèmes, à la sécurité des réseaux ou à l'audit des contrats intelligents, mais en réalité, le champ de la sécurité est beaucoup plus large. Cela inclut la sécurité des employés, l'ingénierie sociale, et même la sécurité physique des bureaux, ainsi que la conception de l'organisation d'entreprise, qui peuvent toutes avoir un impact sur la sécurité globale. La sécurité ne se limite pas à un simple audit de code, elle concerne tous les niveaux d'une entreprise et représente un défi systémique et intégré.

Cependant, l'audit de sécurité des projets crypto dans des systèmes centralisés pose certaines difficultés pour les organismes de sécurité. "En général, la plupart des projets ne souhaitent pas ouvrir au monde extérieur des éléments liés à leur partie Web2, comme les systèmes de gestion des clés, ce qui complique l'audit. Actuellement, il n'existe pas de norme d'or pour la gestion des clés, mais CertiK a toujours promu les meilleures pratiques du secteur et a utilisé des méthodes telles que les tests de pénétration pour fournir une sécurité efficace sur ce type de problèmes, mais les résultats restent limités." Gu Ronghui a déclaré que si les équipes de projet pouvaient partager ces codes critiques sous certaines conditions, notamment en fournissant le code source pour des tests en boîte blanche plutôt qu'en boîte noire, l'architecture du système pourrait être analysée plus en profondeur, permettant ainsi d'identifier et de résoudre davantage de vulnérabilités potentielles, améliorant ainsi considérablement la sécurité globale.

Selon Gu Ronghui, en tant que gardien de la sécurité, CertiK a établi une profonde expertise technique et des normes d'audit strictes, et au cours de l'année passée, elle a été remerciée à plusieurs reprises par Apple pour avoir découvert plusieurs vulnérabilités dans les interactions entre les systèmes et les environnements de confiance, et a été sélectionnée par Samsung pour le "hall of fame".

Améliorer l'efficacité grâce aux nouvelles technologies, la cybersécurité est une responsabilité collective

Alors que le marché crypto continue de croître, la fréquence des attaques de hackers, de phishing et d'autres incidents de sécurité entraîne d'énormes pertes économiques pour les projets et les investisseurs. En particulier, avec l'émergence de nouvelles technologies telles que l'intelligence artificielle, qui apportent des méthodes d'attaque plus complexes, cela pousse également les organismes de sécurité à améliorer constamment leurs capacités techniques et la flexibilité de leurs systèmes d'audit.

"L'intelligence artificielle, à ses débuts, était principalement utilisée pour le support client, à l'époque nous l'appelions matrice éparse, moteur de recommandation, et aujourd'hui, l'intelligence artificielle a évolué en un moteur de traitement du langage capable de prédire le prochain mot. Tout comme la blockchain, l'intelligence artificielle est un domaine technologique plein de potentiel. Mais nous en sommes encore au stade préliminaire de l'exploitation de son potentiel. À l'avenir, cette technologie pourrait non seulement être utilisée pour des attaques informatiques et l'analyse des cibles ennemies, mais aussi jouer un rôle clé dans la défense contre ces attaques et être appliquée dans de nombreux domaines, y compris la blockchain et la recherche biomédicale." Dans cette époque de changement apportée par les nouvelles technologies, CZ a souligné l'importance de prêter une attention particulière à l'intelligence artificielle.

Cependant, faire face à des méthodes d'attaque en constante évolution et amélioration reste un défi, même pour les géants de l'industrie disposant de puissantes capacités techniques et de ressources.

"Prenons un exemple, la gestion des clés est un élément crucial pour les échanges centralisés ou décentralisés, mais elle fait face à de nombreux défis complexes. Par exemple, bien que la participation de plusieurs parties à la gestion des clés puisse améliorer l'efficacité, la divulgation d'informations peut également entraîner des risques plus importants ; si des dispositifs de stockage de clés non connectés à Internet sont utilisés, on doit néanmoins faire face à des menaces potentielles lors de la signature des transactions. Ainsi, comment garantir la sécurité des transactions tout en gérant efficacement les clés devient un problème urgent à résoudre dans le domaine crypto. Même si un audit de sécurité peut être effectué, des menaces potentielles comme les infections par des virus informatiques existent toujours, et pour certaines entreprises de sécurité nouvellement établies ou moins connues, les équipes de projet préfèrent garder secrètes les spécificités de la gestion des clés." CZ a soulevé les préoccupations et les défis des équipes de projet lors de la discussion.

Face à cette situation, Gu Ronghui a proposé des suggestions concrètes qui pourraient guider les entrepreneurs et professionnels du secteur crypto. Il a donné l'exemple de la gestion des clés, où l'infection par des virus de dispositifs représente un problème de sécurité sérieux. Par conséquent, la construction d'un environnement d'exécution de confiance (TEE) basé sur du matériel est particulièrement importante. Par exemple, des modules de sécurité utilisés pour stocker des empreintes digitales ou des informations faciales peuvent garantir la sécurité des informations privées même si les dispositifs sont infectés. Même si le dispositif est compromis, tant que les informations stockées dans l'environnement d'exécution de confiance sont correctement gérées et interagies, ces informations peuvent rester à l'abri des menaces extérieures.

Gu Ronghui a également souligné que la cybersécurité n'est pas seulement un avantage concurrentiel pour une seule équipe, mais qu'il s'agit d'une responsabilité collective impliquant plusieurs niveaux et étapes, nécessitant la collaboration de tous les acteurs, y compris les utilisateurs, les propriétaires de projets, les développeurs, les entreprises de sécurité, et même les agences de régulation. Pour les propriétaires de projets, son conseil est que l'évaluation de la sécurité devrait être intégrée tout au long du cycle de vie du projet, en adoptant une approche de bout en bout pour effectuer des contrôles de sécurité continus, et non en se limitant à un audit d'une certaine version. De nombreux propriétaires de projets pensent qu'après un audit complet d'une version, ils peuvent dormir sur leurs deux oreilles, et même les petits changements ultérieurs ne sont pas évalués, ce qui est une erreur. La cybersécurité est un processus en constante évolution, et avec les changements de projet et l'augmentation continue des menaces extérieures, il est essentiel de rester vigilants et de procéder régulièrement à des évaluations et à des mises à jour. En collaborant, bien que la sécurité à 100 % ne puisse pas être garantie, cela peut au moins réduire au maximum les menaces et les vulnérabilités potentielles. CertiK développe également davantage de services pour couvrir des cycles de vie plus longs et offrir une protection plus complète pour les systèmes de ses clients.

D'après les discussions des deux leaders, bien qu'aucun organisme d'audit de sécurité ne puisse fournir de garanties absolues, l'introduction de nouvelles technologies peut effectivement améliorer considérablement les capacités de réponse et l'efficacité. Cependant, pour les équipes de projet, il est fondamental de s'impliquer activement, d'approfondir l'étude de leurs systèmes, de s'assurer qu'ils peuvent faire face efficacement à divers risques potentiels, et de se préparer adéquatement à la protection.

Remarque : Gu Ronghui et CZ

De la construction de l'écosystème à l'éducation des utilisateurs, aider les cryptomonnaies à se mainstreamiser

"Les États-Unis sont le principal moteur de ce marché haussier. Les investisseurs institutionnels accélèrent leur entrée sur le marché, des produits comme l'ETF Bitcoin de BlackRock ayant attiré des milliards de dollars de fonds en quelques mois seulement. De plus, avec l'élection de Trump, qui soutient fermement les cryptomonnaies. En tant que marché mondial leader, d'autres pays suivront inévitablement le mouvement, ce qui déclenchera une compétition mondiale. De plus, de nouveaux cas d'utilisation émergents tels que les MEME coins stimulent également le développement du marché." CZ a passé en revue les facteurs de hausse de ce cycle haussier lors de l'entretien.

Cela signifie également que les cryptomonnaies avancent rapidement vers le mainstream, apportant non seulement plus de liquidité au marché, mais favorisant également un mécanisme de découverte des prix plus professionnel. Bien sûr, dans cette tendance, la compétition pour la construction dans le domaine crypto devient de plus en plus féroce à l'échelle mondiale.

CZ a également souligné lors de la discussion que les politiques de réglementation des cryptomonnaies dans différents pays montrent une concurrence particulièrement féroce. Des pays d'Asie comme le Japon et Singapour, à Hong Kong, jusqu'au Moyen-Orient avec les Émirats et Bahreïn, tous s'efforcent de se positionner comme un centre mondial des cryptomonnaies. L'attitude de soutien du nouveau gouvernement américain envers les cryptomonnaies ajoute une nouvelle variable à cette compétition.

Sous l'influence croissante de la conformité, CertiK collabore activement avec les organismes de réglementation mondiaux. Par exemple, Gu Ronghui est membre de l'Autorité monétaire de Singapour (MAS) et du groupe de travail sur le développement Web3 à Hong Kong, fournissant des conseils et des retours sur l'élaboration de cadres réglementaires. Par exemple, dans le projet de cadre de conformité des stablecoins récemment publié à Hong Kong, deux recommandations ont été fournies par CertiK et adoptées. De plus, CertiK a fourni des services d'audit de sécurité et de conformité liés aux stablecoins à de nombreuses entreprises réputées, y compris le premier émetteur de stablecoin licencié de Singapour, Paxos, et d'autres grandes institutions financières comme Paypal.

Dans ce contexte, il n'y a qu'en s'engageant activement dans la construction de l'écosystème crypto que l'on pourra mieux se positionner sur le marché futur, ce qui a toujours été une priorité pour CertiK. Cette année, CertiK a lancé CertiK Ventures, se concentrant sur la croissance de l'écosystème Web3, visant à dynamiser la communauté pendant la période de morosité du marché. Gu Ronghui a révélé que la stratégie clé de CertiK Ventures est d'investir dans des projets Web3 en phase précoce, tels que SEI Network, WeMix, Kaia, tout en se tournant également vers des entreprises capables de renforcer les capacités de cybersécurité, y compris dans les domaines des outils pour développeurs, des systèmes de surveillance en chaîne et des cadres de test. De plus, CertiK collabore avec de nombreuses grandes entreprises des secteurs traditionnels pour les aider à apprendre et à comprendre activement Web3 et à explorer les possibilités d'affaires dans ce domaine. Cependant, Gu Ronghui estime également que cette transformation est un processus progressif nécessitant l'effort collectif de tous les membres de l'industrie.

Dans la tendance à la popularisation des cryptomonnaies, l'éducation des utilisateurs est sans aucun doute l'un des maillons clés du développement de l'industrie. Comme CZ l'a mentionné lors de la discussion, l'inégalité des ressources éducatives à l'échelle mondiale, en particulier le problème de l'analphabétisme dans les pays en développement, constitue un obstacle majeur à l'entrée des gens dans le monde des cryptomonnaies. Mais maintenant, grâce aux dispositifs et aux applications, un contenu d'apprentissage de haute qualité peut être fourni aux enfants manquant de ressources éducatives, comme un modèle de "gagner en apprenant", qui peut fondamentalement changer leur destin. Pour promouvoir ce processus, CZ a également lancé la plateforme éducative Giggle Academy, investissant non seulement dans des domaines tels que la blockchain Web3, l'intelligence artificielle et la biotechnologie, mais considérant également l'éducation comme un moyen important de changer l'avenir.

Gu Ronghui a également exprimé une forte volonté de promouvoir l'éducation et de fournir des conseils sur la sécurité aux nouveaux investisseurs sur le marché. Il a déclaré que l'esprit de décentralisation est au cœur de la conception des blockchains et des contrats intelligents, mais cela pose également des défis en matière de confiance. De nombreux utilisateurs de détail ne comprennent pas complètement le fonctionnement des contrats intelligents ou de la blockchain, et ils sont donc plus enclins à faire confiance à des entreprises centralisées plutôt qu'au code lui-même. À cet égard, Gu Ronghui a souligné que les investisseurs ne devraient pas simplement considérer les rapports d'audit des organismes de sécurité comme un "cachet de sécurité", mais devraient accorder plus d'importance à la transparence des projets et aux informations publiques. Pour cela, CertiK a également développé la plateforme Skynet, permettant aux utilisateurs d'accéder plus facilement à ces données et de mieux les comprendre, les aidant ainsi à effectuer une diligence raisonnable.

En plus de l'évaluation des risques, CZ a également rappelé aux investisseurs de définir des investissements de "taille appropriée" en fonction de leur tolérance au risque, afin d'éviter de faire face à une pression économique accrue en raison de surinvestissements.