« 5 grandes voies d’attaques quantiques » révélées ! Google met en garde : 100 milliards de dollars d’actifs sur Ethereum menacés

L’équipe IA quantique de Google a publié lundi son dernier rapport. Presque toute l’attention de la communauté des crypto-monnaies se concentre sur le Bitcoin : capable d’être déchiffré en 9 minutes, avec jusqu’à 41% de probabilité de vol, et 6,9 millions de Bitcoins exposés au risque — tandis que la partie du rapport concernant « l’Ether » a été boudée par le marché. Or, les risques qui y sont dissimulés sont encore plus troublants. Il convient donc à l’ensemble des investisseurs d’observer cela avec le plus haut niveau d’alerte.
Ce livre blanc, rédigé conjointement par Google, par Justin Drake, chercheur principal au sein de l’Ethereum Foundation, et par Dan Boneh, grand spécialiste de la cryptographie à l’université Stanford, analyse les « 5 voies les plus meurtrières » par lesquelles l’avenir des ordinateurs quantiques pourrait venir à bout d’Ethereum. Et pour chacune de ces voies, il est probable qu’elle frappe précisément des éléments vitaux différents de l’Ether. En se basant sur les prix actuels, l’ampleur des actifs directement exposés au risque dépasse déjà 100 milliards de dollars. Si une réaction en chaîne est déclenchée, le désastre sera difficile à estimer.

1. Le grand « tour de passe-passe à découvert » du baleine-gros portefeuille
Dans le monde du Bitcoin, la « clé publique » de l’utilisateur peut, avant d’être dépensée concrètement, rester cachée derrière une fonction de hachage (Hash, une sorte d’empreinte numérique). Mais sur Ethereum, dès qu’un utilisateur envoie une transaction, la clé publique se retrouve « publiquement et définitivement » sur la blockchain. À moins d’abandonner complètement ce compte et de transférer l’argent ailleurs, il est impossible de changer quoi que ce soit.
L’équipe de Google estime que, à l’heure actuelle, les 1 000 principaux portefeuilles de baleines (au total, environ 20,5 millions d’Ether) sont déjà entièrement exposés au risque. Si un ordinateur quantique n’a besoin que de 9 minutes pour déchiffrer un jeu de clés privées, en moins de 9 jours, ces portefeuilles de 1 000 baleines seront vidés entièrement.

2. Le « super administrateur » qui tient le registre de vie et de mort de la DeFi
Sur Ethereum, les contrats intelligents qui prennent en charge les prêts, les échanges et l’émission de stablecoins attribuent généralement des « privilèges spéciaux » à une poignée d’administrateurs. Cela permet au « super administrateur » de mettre en pause le contrat, de mettre à niveau le code, voire de transférer d’importantes sommes. Le rapport constate qu’au moins 70 grandes clés d’administrateurs ont déjà été exposées en chaîne, impliquant environ 2,5 millions d’Ether.
Ce qui est encore plus glaçant, ce sont les réactions en chaîne au-delà de l’Ether. Ces comptes d’administrateurs détiennent également les « droits de frappe » de stablecoins majeurs tels que USDT et USDC. Autrement dit, une fois qu’un pirate quantique a compromis une seule de ces clés, il peut émettre des jetons à l’infini, comme une machine à imprimer, déclenchant une réaction en chaîne dans tous les marchés de prêt qui utilisent ces jetons comme collatéral.
Le livre blanc estime qu’environ 200 milliards de dollars d’actifs tokenisés et de stablecoins sur Ethereum dépendent de ces clés d’administrateurs fragiles.

3. Une couche Layer2 qui dépend de la même cryptographie
Pour améliorer la vitesse de transaction, la plupart des transactions sur Ethereum sont traitées hors chaîne via des Layer 2 comme Arbitrum et Optimism, puis les résultats sont renvoyés. Mais le problème, c’est que les outils de cryptographie natifs d’Ethereum sur lesquels ces Layer2 s’appuient ne disposent tous d’aucune capacité de « déchiffrement résistant aux quantiques ».
Le rapport estime grossièrement qu’au moins 15 millions d’Ether sont exposés au risque sur l’ensemble des principales Layer2 et des ponts inter-chaînes. À ce jour, le seul système considéré comme sûr est StarkNet, qui utilise un algorithme de hachage (et non un algorithme de signature à courbes elliptiques).

4. Attaquer « le système de staking » pour faire tomber le réseau
Ethereum s’appuie sur le mécanisme de « preuve d’enjeu (Proof-of-Stake, PoS) » pour maintenir la sécurité du réseau : les validateurs votent pour décider quelles transactions sont valides. Cependant, le rapport considère que les mécanismes de vérification des signatures numériques utilisés pour ces votes sont également faciles à casser par des ordinateurs quantiques.
À l’heure actuelle, tout le réseau compte environ 37 millions d’Ether en état de staking. Si un pirate parvient à contrôler un tiers des nœuds validateurs, il peut paralyser le réseau, rendant les transactions impossibles à confirmer. S’il contrôle les deux tiers des nœuds validateurs, le pirate peut même dominer la situation et modifier directement l’historique des enregistrements de la blockchain.
Le rapport avertit également, tout particulièrement, que si les jetons mis en jeu se concentrent excessivement dans des gros pools de capitaux (par exemple Lido, qui représente environ 20% de parts de marché), il suffit au pirate de concentrer ses attaques sur l’infrastructure d’un seul acteur pour raccourcir considérablement le temps d’attaque.

5. Le « défaut permanent » : il suffit de le casser une fois
Le rapport mentionne aussi une voie d’attaque la plus particulière, et la plus préoccupante. Ethereum adopte un système nommé « Data Availability Sampling » (échantillonnage de disponibilité des données), afin de vérifier si les données de transactions renvoyées par Layer2 existent réellement. Lors de la configuration initiale, ce système a généré un ensemble de « chiffres absolument confidentiels », censés être détruits intégralement après coup.
Une fois qu’un pirate utilise un ordinateur quantique, il peut reconstituer cette série de chiffres confidentiels à partir des données publiques. Le plus effrayant est que, dès qu’il est cassé une fois, cette série de chiffres confidentiels devient un ensemble d’outils pouvant fonctionner en permanence. Même sans recourir à l’ordinateur quantique, le pirate peut ainsi falsifier à jamais des preuves de vérification des données.
L’équipe de Google décrit même que cet outil de faille « a une valeur commerciale de transaction élevée ». Lorsqu’il entrera dans le marché noir, toutes les couches Layer2 reposant sur le système de données Ethereum Blob seront touchées.

La grande opération de sauvetage de plusieurs centaines de milliards : la bataille défensive d’Ethereum et ses points faibles
Bien sûr, le camp d’Ethereum ne reste pas les bras croisés. Justin Drake, chercheur à l’Ethereum Foundation et co-auteur du livre blanc, révèle que la Fondation a officiellement lancé la semaine dernière un site d’entrée pour la recherche sur l’« ère post-quantique (Post-quantum) ». Il indique que les recherches associées se poursuivent depuis plus de 8 ans. Actuellement, le réseau de test avance chaque semaine, et il a été établi une feuille de route de mises à niveau par hard forks à plusieurs étapes, dans l’objectif de déployer entièrement la cryptographie résistante aux quantiques avant 2029.
De plus, par rapport au Bitcoin qui ne produit un bloc qu’au bout de 10 minutes, Ethereum n’a besoin que de 12 secondes pour produire un bloc, ce qui rend l’interception des transactions en temps réel beaucoup plus difficile pour les pirates.
Cependant, le livre blanc rappelle aussi : même si le réseau principal d’Ethereum réussit à être mis à niveau, les milliers de contrats intelligents déjà déployés sur la chaîne ne s’auto-immuniseront pas automatiquement.