Audit CertiK : Au cœur du plus grand auditeur de sécurité Web3
La mention « Audité par CertiK » apparaît sur les pages de présentation des tokens comme un autocollant de sécurité sur un siège auto. Elle est censée garantir la fiabilité du projet. CertiK est la référence en matière de sécurité Web3, et pour de nombreux investisseurs, ce label est devenu synonyme de « probablement sûr ». Le problème, c'est que plusieurs projets arborant ce label ont tout de même été spoliés de millions. Alors, à quoi sert réellement un audit CertiK ? Cet article explique ce qu'est CertiK, comment fonctionnent ses audits et son score Skynet, dans quels cas ils sont utiles, et dans quelles circonstances ce label perd de sa valeur.
Qui est CertiK et pourquoi domine-t-elle la sécurité Web3 ?
CertiK n'a pas inventé l'audit des contrats intelligents. Elle l'a industrialisé. L'entreprise a transformé un processus lent et artisanal, réalisé par une poignée de cryptographes, en une marque qu'un projet peut acheter, afficher et mettre en avant lorsque des investisseurs s'interrogent sur la sécurité du code.
D'un laboratoire de Yale à une entreprise de 2 milliards de dollars
Deux professeurs d'informatique, Ronghui Gu de l'Université Columbia et Zhong Shao de Yale, ont lancé CertiK en 2018. Leur approche était résolument académique, voire trop. L'idée était d'utiliser la vérification formelle, une méthode mathématique permettant de prouver qu'un logiciel fonctionne comme prévu, afin de garantir la correction du code blockchain plutôt que de simplement le « tester ». Un concept de niche. Pourtant, il a attiré des investissements considérables. En avril 2022, CertiK avait levé environ 88 millions de dollars, pour une valorisation de 2 milliards de dollars, selon TechCrunch . Goldman Sachs, Tiger Global, Sequoia et le Vision Fund de SoftBank ont tous participé à son financement. Neuf levées de fonds, pour un total d'environ 296 millions de dollars. Pas mal pour deux universitaires qui ont commencé par démontrer des théorèmes sur les compilateurs.
Ce que mesure réellement le « plus grand auditeur »
Les chiffres clés de CertiK mettent l'accent sur le volume : plus de 6 100 projets audités, plus de 91 000 vulnérabilités détectées lors de ces audits de sécurité et des actifs d'une valeur supérieure à 360 milliards de dollars examinés. Parmi ses clients figurent Aave, Polygon et BNB Chain. L'ampleur est indéniable, mais elle constitue aussi un piège : le terme « plus grand » désigne le nombre d'audits réalisés par une entreprise, et non la profondeur de chaque analyse. Certes, une entreprise qui produit plus de rapports que quiconque impressionne, mais volume et rigueur sont deux choses différentes, et c'est précisément cet écart qui alimente la plupart des critiques. Voici un exemple concret de ce reproche : CertiK examine tellement de projets que son nom se retrouve associé aussi bien à un jeton éphémère qu'à un protocole sérieux, et une analyse de deux jours équivaut à une analyse de plusieurs mois. Les acheteurs ont rarement la moindre idée de la différence. Cette uniformisation est le véritable problème du label.
Comment fonctionne réellement un audit CertiK, étape par étape
Un audit CertiK ne se résume pas à un seul élément. Il se compose de deux niveaux superposés, et comprendre la différence entre ces deux niveaux vous en apprend beaucoup sur ce que le rapport final peut et ne peut pas garantir.
Vérification formelle vs examen manuel
La première étape consiste en une vérification formelle. Au lieu d'exécuter un contrat intelligent et d'observer son fonctionnement, CertiK construit un modèle mathématique du code et prouve si certaines propriétés sont toujours vérifiées, quelles que soient les données d'entrée. Son compilateur DeepSEA permet de prendre en charge cette fonctionnalité. La vérification formelle est particulièrement efficace pour répondre à des questions spécifiques, comme « ce solde peut-il devenir négatif ? », mais elle ne vérifie que les propriétés explicitement spécifiées.
La deuxième étape consiste en une revue manuelle : des ingénieurs examinent le code ligne par ligne, à la recherche d’erreurs logiques, d’hypothèses erronées et d’erreurs subtiles qu’un modèle ne détectera pas, faute d’instructions. C’est à cette étape que proviennent la plupart des découvertes importantes. Selon la quantité et la complexité du code, le processus complet dure d’environ 48 heures pour un projet très simple à plusieurs semaines pour un protocole complexe.
Lecture du rapport : « résolu » vs « reconnu »
Le livrable est un rapport. Il répertorie chaque vulnérabilité selon sa gravité (critique, majeure, mineure et informative) et indique les mesures prises par le projet. Cette dernière colonne est plus importante qu'on ne le pense. Une vulnérabilité marquée « résolue » signifie que l'équipe l'a corrigée et que CertiK a procédé à une nouvelle vérification. Une vulnérabilité marquée « pris en compte » signifie que l'équipe l'a lue, a haussé les épaules et a tout de même déployé le code. Deux projets peuvent afficher le même badge alors que l'un a tout corrigé et que l'autre a ignoré ses alertes critiques. Le badge ne permet pas de les distinguer. Seul le rapport le fait. C'est pourquoi la date d'un rapport est importante. Le code est déployé, puis évolue ; un audit datant d'un an et de dix mises à jour décrit un projet qui n'existe peut-être plus sur la blockchain sous la forme examinée.
| Scène | Que fait CertiK ? | Prises | angles morts |
|---|---|---|---|
| vérification formelle | Démontre mathématiquement des propriétés spécifiées du code | Erreurs mathématiques et logiques dans les règles définies | Tout ce qui se trouve en dehors des propriétés spécifiées |
| Revue manuelle | Les ingénieurs lisent le code à la main | Erreurs logiques, hypothèses erronées, schémas d'attaque connus | Systèmes hors chaîne, modifications de code après audit |
| Rapport et réaudit | Liste les résultats par gravité, vérifie les corrections | La question de savoir si les problèmes ont été abordés | L'équipe a-t-elle effectivement déployé la version corrigée ? |
Skynet et le score de sécurité CertiK Web3
Les audits ne sont que des instantanés ponctuels. Skynet est la solution proposée par CertiK pour une surveillance continue : un tableau de bord en temps réel qui suit les projets dès leur lancement et attribue à chacun un score de sécurité. L'entreprise affirme superviser plus de 20 000 projets sur la blockchain.
Le score Skynet combine plusieurs critères. Il examine si un projet a fait l'objet d'un audit, si son équipe a passé la vérification KYC de CertiK (proposée en trois niveaux : or, argent et bronze), et le comportement des contrats. Skynet analyse ce comportement sur la blockchain grâce à une surveillance en temps réel et signale les anomalies dès leur apparition. Skynet envoie également des alertes de surveillance sur la blockchain pour détecter les arnaques à la sortie et les exploits, et propose des classements comparant les projets entre eux. En première lecture, le score Skynet est un indicateur pertinent. Il est plus rapide que la lecture d'un rapport complet et met en évidence les signaux d'alerte les plus évidents. Cependant, il s'agit d'un produit commercialisé par CertiK, basé en partie sur les données fournies par CertiK, et un score élevé n'a jamais été une garantie de sécurité pour un projet. Il faut le considérer comme un élément d'information parmi d'autres, et non comme un verdict définitif. L'expérience le confirme. Des projets ont conservé des scores Skynet respectables jusqu'à leur exploitation ou leur abandon discret, car un score basé principalement sur le comportement passé ne peut pas anticiper un changement malveillant. Il indique simplement qu'un projet n'a pas encore explosé. Elle ne peut pas vous dire qu'elle ne le fera jamais.
Au-delà des audits : le reste de l'écosystème CertiK
L'audit est l'élément principal, mais CertiK propose une gamme complète de services complémentaires. Les tests d'intrusion simulent des attaques sur les portefeuilles, les plateformes d'échange et les applications. Un programme de primes aux bogues, sans frais de plateforme, rémunère des hackers externes pour identifier les failles de sécurité avant les cybercriminels. S'y ajoutent le KYC (Know Your Customer) pour authentifier les fondateurs anonymes, SkyInsights pour la conformité et la lutte contre le blanchiment d'argent requises par les entreprises réglementées (MiCA et DORA), et SkyTrace pour retracer les fonds volés sur différentes blockchains une fois le problème survenu. Ces services ne remplacent pas l'audit ; ils le complètent, transformant ainsi une mission ponctuelle en un abonnement couvrant toute la durée de vie d'un projet décentralisé.
Audité puis piraté : quand les vecteurs d’attaque passent entre les mailles du filet
Voici ce que les présentations édulcorées omettent. Un audit est un instantané d'un code spécifique à un moment précis. Il ne constitue pas une garantie, et le considérer comme tel est la principale cause de pertes financières sur des projets qui, sur le papier, semblaient pourtant irréprochables.
Ce qu'un audit ne couvre pas
Un audit de contrat intelligent vérifie le contrat lui-même. Il ne vérifie pas si les fondateurs détiennent une clé d'administrateur leur permettant de vider le pool. Il ne vérifie ni le site web, ni les serveurs, ni les clés privées qui les sous-tendent. Il ne vérifie pas la version du code déployée par l'équipe après l'audit, qui peut différer de celle examinée. Enfin, il ne peut empêcher une équipe de s'enfuir avec les fonds. La plupart des failles de sécurité qui vident un projet ne proviennent pas du contrat audité, mais de ses vulnérabilités.
L'affaire Merlin DEX : signalée mais exploitée
Merlin DEX en est l'exemple le plus flagrant. CertiK l'a audité, et l'audit a effectivement mis en évidence le problème : les contrats du projet étaient dangereusement centralisés, avec des accès privilégiés qu'un employé malveillant aurait pu exploiter. En avril 2023, cette faille a précisément été utilisée pour détourner environ 1,82 million de dollars. L'audit n'était pas erroné ; il a identifié le risque. Mais l'avertissement figurait dans la colonne « pris en compte » au lieu de « résolu », et l'exploitation de la faille s'est faite sans difficulté. Détecter la faille était la partie facile. Agir en conséquence incombait au client, et l'équipe de Merlin ne l'a jamais fait.
En prenant du recul, la tendance est préoccupante pour l'ensemble du secteur. Les rapports Hack3d de CertiK montrent une augmentation des pertes, et non une diminution. L'entreprise a recensé environ 2,36 milliards de dollars de vols répartis sur 760 incidents en 2024 , puis environ 3,35 milliards de dollars répartis sur 630 incidents en 2025 , une année fortement impactée par la seule violation de données de Bybit, d'un montant de 1,45 milliard de dollars. Selon des données indépendantes de Chainalysis, les vols de 2025 avoisinent les 3,4 milliards de dollars, dont environ 2,02 milliards seraient liés à des groupes associés à la Corée du Nord. Ces opérateurs ciblent de plus en plus les personnes et l'infrastructure entourant un contrat plutôt que le contrat lui-même, un aspect précisément non couvert par un audit. Or, multiplier les audits n'a pas entraîné de diminution de la criminalité.
| Année | Pertes déclarées | Incidents | Le plus gros succès individuel |
|---|---|---|---|
| 2024 | 2,36 milliards de dollars | 760 | — |
| 2025 | 3,35 milliards de dollars | 630 | Bybit, 1,45 milliard de dollars |
L'incident du Kraken et le problème de confiance de CertiK
Pour une entreprise qui vend la confiance, sa propre conduite fait partie intégrante du produit. Deux incidents ont rendu la situation délicate.
En juin 2024, les chercheurs de CertiK ont découvert une faille zero-day dans la plateforme d'échange Kraken et, au lieu de se contenter de la signaler, l'ont exploitée pour dérober environ 3 millions de dollars dans les systèmes de Kraken . CertiK a présenté cet acte comme une preuve de la gravité de la faille. Kraken a dénoncé une tentative d'extorsion et a affirmé avoir initialement refusé de restituer les fonds jusqu'à ce que des pressions soient exercées. L'argent a finalement été restitué, mais l'épisode a donné une très mauvaise image : une entreprise de sécurité exploitant un client à grande échelle pour faire valoir ses arguments. Début 2025, CertiK a présenté ses excuses pour des travaux liés à Huione, une entreprise cambodgienne ultérieurement associée à des réseaux d'escroquerie au travail forcé. Rien de tout cela ne signifie que les audits de CertiK sont inutiles. Cela signifie simplement qu'une entreprise qui compte sur le marché pour la croire sur parole doit désormais redorer son image, et elle le fait tout en préparant, semble-t-il, une introduction en bourse à une valorisation d'environ 2 milliards de dollars.
CertiK contre d'autres entreprises de sécurité Web3
CertiK est un acteur majeur de la sécurité blockchain, mais pas le seul, et pour de nombreux projets, ce n'est pas le choix évident. Le marché de l'audit se divise en deux grandes catégories : les acteurs de grande envergure et les cabinets spécialisés. Ces derniers prennent en charge moins de clients et ont tendance à approfondir leurs analyses. Nombre d'entre eux définissent leurs propres normes de sécurité, plus strictes que celles qu'un cabinet de grande envergure peut appliquer. Les protocoles gérant des sommes importantes font souvent appel à un second avis spécialisé pour cette raison précise. Échelle et profondeur ne sont pas synonymes, et le choix le plus judicieux dépend de votre stade de développement et de votre budget. Les prix reflètent cette disparité : un audit de tokens simple peut coûter quelques milliers de dollars, tandis qu'un examen complet d'un protocole complexe peut atteindre plusieurs centaines de milliers de dollars.
| Ferme | Se concentrer | Connu pour | Modèle |
|---|---|---|---|
| CertiK | Sécurité Web3 étendue | Volume, Skynet, notoriété de la marque | Échelle |
| Piste de fragments | Sécurité à haute assurance | Examen manuel approfondi, recherche | Boutique |
| OpenZeppelin | sécurité des contrats intelligents | Bibliothèques de contrats largement utilisées | Boutique |
| Halborn | Sécurité de la blockchain et des infrastructures | Tests d'intrusion, exploits avancés | Taille moyenne |
| Hacken | Audits et surveillance Web3 | Audits rentables | Taille moyenne |
Comment lire le badge « Audité par CertiK »
Vous voyez la mention « Audité par CertiK » sur un projet ? Avant de vous y fier, ouvrez le rapport complet et vérifiez cinq points. Premièrement, le périmètre : quels contrats ont été audités ? Le contrat qui gère vos fonds en fait-il partie ? Deuxièmement, la date et le hachage du commit : comparez-les avec le code en production, car ils divergent souvent. Troisièmement, les anomalies constatées : combien étaient critiques ? Ont-elles été résolues ou simplement prises en compte ? Quatrièmement, vérifiez si la version auditée est bien la version déployée. Cinquièmement, ne vous fiez pas uniquement au score Skynet ; il s’agit d’un résumé, et non du document complet.
Un petit point concernant les symboles boursiers, car il y a souvent confusion. CertiK, la société, est privée et n'a pas d'actions. CTK est le jeton de la chaîne Shentu, un réseau de preuve d'enjeu distinct, lié aux premiers travaux de CertiK. Acheter des CTK ne signifie pas acquérir une participation dans l'entreprise d'audit. Si vous cherchiez des « actions CertiK », sachez qu'il n'y en a pas encore.
Ce que vaut réellement un audit CertiK
Un audit CertiK a-t-il une quelconque utilité ? Oui, dans une certaine mesure. Il rehausse les exigences minimales. Il élimine le code bâclé, formalise les risques réels et fournit à une équipe sérieuse une liste de points à corriger. En revanche, il ne peut garantir la responsabilité des personnes. Il ne promet ni que le code déployé corresponde à l'audit, ni qu'un seul risque signalé ait été effectivement résolu. Considérez ce label comme le point de départ de votre démarche, et non comme la finalité. Alors, la prochaine fois que vous voyez « Audité par CertiK », faites cette chose fastidieuse que presque personne ne fait : ouvrez le rapport et lisez la colonne indiquant les corrections apportées. Et si le projet refuse de vous montrer le rapport ? C'est là le problème. Un label non vérifiable n'est qu'un logo.
