Mise en contexte
Le Lazarus Security Lab de Bybit vient de publier un rapport explosif. Ce dernier révèle que 16 blockchains majeures possèdent dans leur code des fonctions permettant de geler ou restreindre les fonds des utilisateurs. Cette enquête menée sur 166 réseaux blockchain combine analyse par intelligence artificielle et vérification manuelle par des développeurs confirmés. Les résultats sont troublants. Parmi les blockchains concernées figurent des noms prestigieux comme BNB Chain (Binance), Aptos, Sui, VeChain et Chiliz.
Le rapport identifie trois mécanismes distincts de gel. Premièrement, le gel codé en dur directement dans le protocole, utilisé par BNB Chain et VeChain. Deuxièmement, le gel basé sur des fichiers de configuration accessibles uniquement aux validateurs, fondations ou développeurs principaux, employé par Aptos, Sui et EOS. Troisièmement, le gel via smart contract on-chain permettant des modifications immédiates de la liste noire, utilisé exclusivement par le réseau HECO.
Le rapport précise également que 19 autres blockchains pourraient activer ces fonctions avec de simples modifications mineures de protocole. Cette révélation intervient quelques mois après que Bybit lui-même a subi un piratage de 1,5 milliard de dollars de son cold wallet, l’un des plus graves incidents de l’histoire crypto. Grâce à ces mécanismes de gel, la communauté avait réussi à bloquer 42,9 millions de dollars de fonds volés.
Un dilemme entre sécurité et décentralisation
Le rapport ravive un débat fondamental sur la nature même de la blockchain. D’un côté, ces mécanismes de gel ont prouvé leur efficacité lors de situations d’urgence. En 2022, BNB Chain a utilisé sa liste noire codée en dur pour contenir un exploit de bridge valorisé à 570 millions de dollars, stoppant le mouvement des BNB fraîchement créés par les attaquants. En 2019, VeChain a gelé 6,6 millions de dollars en tokens volés après une violation majeure, empêchant leur blanchiment sur les exchanges. Plus récemment, les validateurs de Sui ont gelé 162 millions de dollars liés au hack de Cetus. Ces interventions rapides ont limité les dégâts et protégé les écosystèmes concernés.
Mais d’un autre côté, ces capacités contredisent directement la promesse de décentralisation et d’immutabilité sur laquelle repose toute la philosophie blockchain. Si une entité centralisée peut geler arbitrairement des fonds, qu’est-ce qui différencie ces blockchains du système bancaire traditionnel ?
La réaction de la communauté crypto a été vive et critique. De nombreux utilisateurs ont exprimé leur indignation sur les réseaux sociaux, considérant cette révélation comme une trahison des principes fondateurs du Web3. Le rapport du Lazarus Security Lab souligne que ces outils, bien que conçus pour prévenir le vol et le piratage, soulèvent des questions éthiques majeures sur le contrôle et la transparence.
L’équipe recommande que la documentation claire de ces mécanismes devienne un élément central de la gouvernance d’urgence des blockchains. La transparence totale permettrait aux utilisateurs de prendre des décisions éclairées sur les réseaux qu’ils choisissent d’utiliser. Cosmos, bien qu’actuellement exempt de tels mécanismes, pourrait développer des fonctionnalités similaires à l’avenir grâce à sa conception modulaire des comptes.
En bref
Le rapport du Lazarus Security Lab révèle une vérité inconfortable : la sécurité et la décentralisation absolue sont souvent incompatibles. Les blockchains majeures ont choisi d’intégrer des mécanismes de gel comme filets de sécurité contre les exploits massifs. Mais au prix d’une centralisation partielle du pouvoir. Cette découverte ne disqualifie pas ces réseaux mais oblige les utilisateurs à adopter une vision plus nuancée de la blockchain. La décentralisation n’est pas binaire. Elle existe sur un spectre où chaque réseau fait des compromis différents entre sécurité, performance et autonomie. La question n’est plus de savoir si ces mécanismes existent, mais comment ils sont gouvernés, documentés et utilisés de manière transparente et responsable.
