La violation de la sécurité de 1,5 million de dollars de Bybit souligne l'importance de la conception centrée sur l'homme

La récente violation de sécurité pour environ 1,5 million de dollars à Bybit, la deuxième plus grande bourse de crypto-monnaie au monde en termes de volume commercial, a envoyé des ondulations via la communauté des actifs numériques.

The recent security breach for around $1.5 billion at Bybit, the world's second-largest cryptocurrency exchange by trading volume, has sent ripples through the digital asset community.

La récente violation de sécurité pour environ 1,5 milliard de dollars à Bybit, la deuxième plus grande bourse de crypto-monnaie au monde en termes de volume commercial, a envoyé des ondulations via la communauté des actifs numériques.

greater than $20 billion in customer assets and processes, Bybit faced a significant challenge when an attacker exploited security controls during a routine transfer from an offline “cold” wallet to a “warm” wallet used for daily trading.

Plus de 20 milliards de dollars d'actifs et de processus des clients, ByBit a fait face à un défi important lorsqu'un attaquant a exploité des contrôles de sécurité lors d'un transfert de routine d'un portefeuille «froid» à un portefeuille «chaud» utilisé pour le trading quotidien.

According to initial reports, the vulnerability involved a home-grown Web3 implementation using Gnosis Safe — a multi-signature wallet that uses off-chain scaling techniques, contains a centralized upgradable architecture, and a user interface for signing. Malicious code deployed using the upgradable architecture made what looked like a routine transfer actually an altered contract. The incident triggered around 350,000 withdrawal requests as users rushed to secure their funds.

Selon les premiers rapports, la vulnérabilité impliquait une implémentation Web3 locale à l'aide de Gnosis Safe - un portefeuille multi-signature qui utilise des techniques d'échelle hors chaîne, contient une architecture de mise à niveau centralisée et une interface utilisateur pour la signature. Le code malveillant déployé à l'aide de l'architecture améliorable a fait ce qui ressemblait à un transfert de routine en fait un contrat modifié. L'incident a déclenché environ 350 000 demandes de retrait alors que les utilisateurs se précipitaient pour sécuriser leurs fonds.

While considerable in absolute terms, this breach — estimated at less than 0.01% of the total cryptocurrency market capitalization — demonstrates how what once would have been an existential crisis has become a manageable operational incident.

Bien que considérable en termes absolus, cette violation - estimée à moins de 0,01% de la capitalisation boursière totale de la crypto-monnaie - montre comment ce qui aurait été une crise existentielle est devenu un incident opérationnel gérable.

also covered all unrecovered funds through its reserves or partner loans, further exemplifying its maturation.

Couvrait également tous les fonds non récupérés par ses réserves ou ses prêts partenaires, illustrant encore sa maturation.

Since the inception of cryptocurrencies, human error — not technical flaws in blockchain protocols — has consistently been the primary vulnerability. Examining over a decade of major cryptocurrency breaches shows that human factors have always dominated. In 2024 alone, approximately $2.2 billion was stolen.

Depuis la création des crypto-monnaies, l'erreur humaine - et non les défauts techniques dans les protocoles de blockchain - a toujours été la principale vulnérabilité. L'examen de plus d'une décennie de violations majeures de crypto-monnaie montre que les facteurs humains ont toujours dominé. Rien qu'en 2024, environ 2,2 milliards de dollars ont été volés.

These breaches continue to occur for similar reasons: organizations fail to secure systems because they won't explicitly acknowledge responsibility for them, or rely on custom-built solutions that preserve the illusion that their requirements are uniquely different from established security frameworks. This pattern of reinventing security approaches rather than adapting proven methodologies perpetuates vulnerabilities.

Ces violations continuent de se produire pour des raisons similaires: les organisations ne sécurissent pas les systèmes car elles ne reconnaîtront pas explicitement la responsabilité d'eux ou ne s'appuient pas sur des solutions sur mesure qui préservent l'illusion que leurs exigences sont uniquement différentes des cadres de sécurité établis. Ce modèle de réinventure des approches de sécurité plutôt que d'adapter des méthodologies prouvées perpétue les vulnérabilités.

While blockchain and cryptographic technologies have proven cryptographically robust, the weakest link in security is not the technology but the human element interfacing with it. This pattern has remained remarkably consistent from cryptocurrency's earliest days to today's sophisticated institutional environments, and echoes cybersecurity concerns in other — more traditional — domains.

Bien que les technologies de la blockchain et des cryptographies se soient révélées cryptographiquement robustes, le maillon le plus faible de la sécurité n'est pas la technologie mais l'élément humain interfaçant avec elle. Ce modèle est resté remarquablement cohérent des premiers jours de la crypto-monnaie aux environnements institutionnels sophistiqués d'aujourd'hui et fait écho aux préoccupations de cybersécurité dans d'autres domaines - plus traditionnels -.

These human errors include mismanagement of private keys, where losing, mishandling, or exposing private keys compromises security. Social engineering attacks remain a major threat as hackers manipulate victims into divulging sensitive data through phishing, impersonation, and deception.

Ces erreurs humaines incluent la mauvaise gestion des clés privées, où la perte, la mauvaise gestion ou l'exposition des clés privées compromet la sécurité. Les attaques d'ingénierie sociale restent une menace majeure car les pirates manipulent les victimes pour divulguer des données sensibles par le phishing, l'identité et la tromperie.

Human-Centric Security Solutions

Solutions de sécurité centrées sur l'homme

Purely technical solutions cannot solve what is fundamentally a human problem. While the industry has invested billions in technological security measures, comparatively little has been invested in addressing the human factors that consistently enable breaches.

Les solutions purement techniques ne peuvent pas résoudre ce qui est fondamentalement un problème humain. Bien que l'industrie ait investi des milliards dans des mesures de sécurité technologique, il a relativement peu été investi dans la lutte contre les facteurs humains qui permettent systématiquement les violations.

A barrier to effective security is the reluctance to acknowledge ownership and responsibility for vulnerable systems. Organizations that fail to clearly delineate what they control — or insist their environment is too unique for established security principles to apply — create blind spots that attackers readily exploit.

Un obstacle à une sécurité efficace est la réticence à reconnaître la propriété et la responsabilité des systèmes vulnérables. Les organisations qui ne définissent clairement pas ce qu'elles contrôlent - ou insistent sur le fait que leur environnement est trop unique pour que les principes de sécurité établis s'appliquent - créent des angles morts que les attaquants exploitent facilement.

This reflects what security expert Bruce Schneier has termed a law of security: systems designed in isolation by teams convinced of their uniqueness almost invariably contain critical vulnerabilities that standard security practices would have addressed. The cryptocurrency sector has repeatedly fallen into this trap, often rebuilding security frameworks from scratch rather than adapting proven approaches from traditional finance and information security.

Cela reflète ce que l'expert en sécurité Bruce Schneier a appelé une loi de sécurité: les systèmes conçus isolément par des équipes convaincus de leur caractère unique contiennent presque invariablement des vulnérabilités critiques que les pratiques de sécurité standard auraient abordées. Le secteur des crypto-monnaies est tombé à plusieurs reprises dans ce piège, reconstruisant souvent des cadres de sécurité à partir de zéro plutôt que d'adapter des approches éprouvées des finances traditionnelles et de la sécurité de l'information.

A paradigm shift toward human-centric security design is essential. Ironically, while traditional finance evolved from single-factor (password) to multi-factor authentication (MFA), early cryptocurrency simplified security back to single-factor authentication through private keys or seed phrases.

Un changement de paradigme vers la conception de la sécurité centrée sur l'homme est essentiel. Ironiquement, tandis que la finance traditionnelle est passée de l'authentification multi-facteurs (MFA), la crypto-monnaie précoce a simplifié la sécurité à l'authentification à facteur unique via des clés privées ou des phrases de semences.

This oversimplification was dangerous, leading to the industry's speedrunning of various vulnerabilities and exploits. Billions of dollars of losses later, we arrive at the more sophisticated security approaches that traditional finance has settled on.

Cette simplification excessive était dangereuse, conduisant à la vitesse de l'industrie de diverses vulnérabilités et exploits. Des milliards de dollars de pertes plus tard, nous arrivons aux approches de sécurité les plus sophistiquées sur lesquelles la finance traditionnelle a réglé.

Modern solutions and regulatory technology should acknowledge that human error is inevitable and design systems that remain secure despite these errors rather than assuming perfect human compliance with security protocols. Importantly, the technology does not change fundamental incentives. Implementing it comes with direct costs, and avoiding it risks reputational damage.

Les solutions modernes et la technologie réglementaire devraient reconnaître que l'erreur humaine est des systèmes inévitables et des systèmes de conception qui restent en sécurité malgré ces erreurs plutôt que de supposer une conformité humaine parfaite aux protocoles de sécurité. Surtout, la technologie ne modifie pas les incitations fondamentales. La mise en œuvre comporte des coûts directs et l'éviter des risques de réputation.

Security mechanisms must evolve beyond merely protecting technical systems to anticipating human mistakes and being resilient against common pitfalls. Static credentials, such as passwords and authentication tokens, are insufficient against attackers who exploit predictable human behavior. Security systems should integrate behavioral anomaly detection to flag suspicious activities.

Les mécanismes de sécurité doivent évoluer au-delà de la simple protection des systèmes techniques pour anticiper les erreurs humaines et être résilient contre les pièges communs. Les informations d'identification statiques, telles que les mots de passe et les jetons d'authentification, sont insuffisants contre les attaquants qui exploitent un comportement humain prévisible. Les systèmes de sécurité doivent intégrer la détection des anomalies comportementales pour signaler les activités suspectes.

Private keys stored in a single, easily accessible location pose a major security risk. Splitting key storage between offline and online environments mitigates full-key compromise. For instance, storing part of a key on a hardware security module while keeping another part offline enhances security by requiring multiple verifications for full access — reintroducing multi-factor authentication principles to cryptocurrency security.

Les clés privées stockées dans un seul emplacement facilement accessible pose un risque de sécurité majeur. La division du stockage de clés entre les environnements hors ligne atténue les compromis en pleine clé. Par exemple, le stockage d'une partie d'une clé sur un module de sécurité matérielle tout en gardant une autre partie hors ligne améliore la sécurité en nécessitant plusieurs vérifications pour un accès complet - réintroduire les principes d'authentification multi-facteurs à la sécurité des crypto-monnaies.

Actionable Steps for a Human-Centric Security Approach

Étapes exploitables pour une approche de sécurité centrée sur l'homme

A comprehensive human-centric security framework must address cryptocurrency vulnerabilities at multiple levels, with coordinated approaches across the ecosystem rather than isolated solutions.

Un cadre de sécurité complet axé sur l'homme doit aborder les vulnérabilités des crypto-monnaies à plusieurs niveaux, avec des approches coordonnées à travers l'écosystème plutôt que des solutions isolées.

For individual users, hardware wallet solutions remain the best standard. However, many users prefer convenience over security responsibility, so the second-best is for exchanges to implement practices from traditional finance: default (but adjustable) waiting periods for large transfers, tiered account systems with different authorization levels, and context-sensitive security education that activates at

Pour les utilisateurs individuels, les solutions de portefeuille matérielle restent la meilleure norme. Cependant, de nombreux utilisateurs préfèrent la commodité à la responsabilité de la sécurité, donc le deuxième meilleur est pour les échanges pour mettre en œuvre des pratiques de la finance traditionnelle: par défaut (mais réglable) des périodes d'attente pour les transferts importants,