33,5 milliards de dollars de « taxe sur les comptes » : lorsque l'EOA devient un coût systémique, que peut apporter l'AA à Web3 ?

null

En 2025, le monde Web3 ne manque pas de grandes narrations, surtout avec la transition réglementaire achevée, la montée progressive des stablecoins dans le système TradFi, et les discussions sur la « conformité », la « régulation » et la « reconstruction de l’ordre pour la prochaine étape », qui constituent presque la ligne directrice de cette année (lecture complémentaire « Carte mondiale de la régulation crypto 2025 : le début de l’ère de la régulation, une année de « convergence » entre Crypto et TradFi »).

Mais derrière ces changements structurels apparemment de haut niveau, une problématique plus fondamentale, longtemps négligée, émerge : celle du compte lui-même, qui devient une source systémique de risque pour l’ensemble du secteur.

Récemment, le rapport de sécurité publié par CertiK a révélé un chiffre assez frappant : en 2025, 630 incidents de sécurité ont eu lieu dans le Web3, avec une perte totale d’environ 3,35 milliards de dollars. Si l’on se limite à ce chiffre global, cela pourrait n’être qu’une répétition annuelle de la gravité de la situation sécuritaire. Mais en analysant plus en détail les types d’incidents, une tendance plus inquiétante apparaît :

Une part importante des pertes ne provient pas de vulnérabilités complexes dans les contrats, ni de brèches directes au protocole, mais se concentre à un niveau plus primitif, et plus inquiétant : les attaques de phishing — au total, 248 incidents liés au phishing ont été recensés, causant environ 723 millions de dollars de pertes, dépassant même les attaques par vulnérabilités de code (240 incidents, environ 555 millions de dollars).

En d’autres termes, dans de nombreux cas de pertes pour les utilisateurs, la blockchain n’a pas failli, la cryptographie n’a pas été cassée, et les transactions respectaient parfaitement les règles.

Le vrai problème, c’est le compte lui-même.

1. Les comptes EOA, le « problème historique » majeur de Web3

Objectivement, que ce soit dans le Web2 ou le Web3, le phishing reste la méthode la plus courante de perte de fonds pour les utilisateurs.

La différence réside dans le fait qu’avec l’introduction des contrats intelligents et des mécanismes d’exécution irréversible, ce type de risque, lorsqu’il se produit, peut avoir des conséquences encore plus extrêmes. Pour comprendre cela, il faut revenir au modèle de compte le plus fondamental et central de Web3 : l’EOA (Externally Owned Account).

Ce modèle est d’une simplicité extrême : la clé privée équivaut à la propriété, la signature à la volonté. Qui détient la clé privée, contrôle entièrement le compte. Ce design, dans ses débuts, était révolutionnaire : il contourne les intermédiaires et les systèmes de garde, redonnant la souveraineté des actifs à l’individu.

Mais cette conception implique aussi une prémisse très radicale : elle suppose que l’utilisateur ne sera pas victime de phishing, qu’il ne fera pas d’erreur, et qu’il ne prendra pas de mauvaises décisions sous fatigue, stress ou pression temporelle. Dès qu’une transaction est signée, elle est considérée comme l’expression fidèle et pleinement comprise de la volonté de l’utilisateur.

Or, la réalité est tout autre.

Les incidents de sécurité fréquents en 2025 sont la conséquence directe de la rupture répétée de cette hypothèse. Qu’il s’agisse d’incitations à signer des transactions malveillantes ou de transferts effectués sans vérification suffisante, le point commun n’est pas la complexité technique, mais l’absence de tolérance aux erreurs inhérente au modèle de compte (lecture complémentaire « De l’EOA à l’abstraction de compte : la prochaine étape de Web3 se jouera-t-elle au niveau du « système de comptes » ? »).

Un scénario typique est le mécanisme d’autorisation Approval, longtemps utilisé sur la chaîne. Lorsqu’un utilisateur autorise une adresse, il permet à cette dernière de transférer des actifs sans confirmation supplémentaire. Sur le plan logique, cette conception est efficace et simple ; mais dans la pratique, elle devient souvent le point de départ des attaques de phishing et des vols d’actifs.

Par exemple, le récent incident d’une adresse ayant été « empoisonnée » pour 50 millions de dollars, l’attaquant n’a pas tenté de percer le système, mais a créé une « adresse similaire » avec des caractères très proches, pour induire l’utilisateur en erreur lors d’un transfert précipité. La faille du modèle EOA est ici évidente : il est très difficile pour un utilisateur de vérifier, en quelques secondes, une chaîne de dizaines de caractères sans signification apparente.

En fin de compte, la logique sous-jacente du modèle EOA ne se soucie pas de savoir si l’utilisateur a été trompé, mais uniquement de savoir si la transaction a été signée.

C’est la raison pour laquelle ces attaques d’empoisonnement d’adresses, qui ont fait la une ces deux dernières années, sont possibles : l’attaquant n’a pas besoin d’un attaque par 51 %, qui est coûteuse et peu efficace, mais peut simplement créer une adresse ressemblant à une autre, attendre que l’utilisateur la copie, la colle, la confirme, et le tour est joué.

Car l’EOA ne peut pas distinguer une adresse inconnue, jamais rencontrée auparavant, ni juger si une opération dévie significativement du comportement historique. Pour lui, c’est une transaction légitime, à exécuter.

Un paradoxe longtemps ignoré devient alors évident : le Web3 est extrêmement sécurisé au niveau cryptographique, mais terriblement vulnérable au niveau des comptes.

Ainsi, les pertes de 3,35 milliards de dollars en 2025 ne peuvent pas simplement s’expliquer par « la négligence des utilisateurs » ou « la sophistication croissante des hackers ». C’est plutôt un signal que, lorsque le modèle de compte est poussé à une échelle financière réelle, ses dettes historiques commencent à se révéler.

2. La nécessité historique de l’Account Abstraction (AA) : une correction systémique du système de comptes Web3

Lorsque de nombreuses pertes surviennent dans un système qui « fonctionne parfaitement selon les règles », cela devient en soi un problème majeur.

Selon les statistiques de CertiK, incidents de phishing, empoisonnement d’adresses, autorisations malveillantes, signatures erronées, etc., ont tous en commun le fait que : la transaction est légitime, la signature est valide, et l’exécution est irréversible. Elles ne violent pas la règle de consensus, ne déclenchent pas d’état exceptionnel, et apparaissent même comme normales dans le explorateur de blocs.

De ce point de vue, ces événements ne sont pas des attaques, mais plutôt des instructions utilisateur correctement exécutées.

Au fond, le modèle EOA réduit « identité », « permissions » et « gestion du risque » à un seul et même secret privé. Une fois la signature effectuée, l’identité est confirmée, la permission accordée, et le risque assumé de façon irrévocable. Cette simplification, avantageuse en début de parcours, montre ses limites lorsque la taille des actifs, le nombre d’utilisateurs et la diversité des cas d’usage augmentent.

Particulièrement lorsque Web3 devient un environnement à haute fréquence, multi-protocoles, et en ligne en permanence : le compte ne se limite plus à un portefeuille froid utilisé occasionnellement, mais doit gérer paiements, autorisations, interactions, règlements, etc. Dans ce contexte, l’hypothèse que « chaque signature représente une décision parfaitement rationnelle » devient difficile à tenir.

De ce point de vue, la raison pour laquelle l’empoisonnement d’adresses fonctionne si souvent n’est pas que les attaquants sont plus intelligents, mais que le modèle de compte ne prévoit aucune tolérance aux erreurs humaines : le système ne demande pas si l’adresse est inconnue, ne juge pas si le montant s’écarte du comportement historique, et ne déclenche pas de confirmation supplémentaire en cas d’opération suspecte. Pour l’EOA, tant que la signature est valide, la transaction doit être exécutée.

En réalité, le système financier traditionnel a déjà apporté des réponses : limites de transfert, périodes de refroidissement, gel en cas d’anomalie, permissions hiérarchisées, autorisations rétractables, etc. En substance, il reconnaît une réalité simple mais fondamentale : l’humain n’est pas toujours rationnel, et la conception des comptes doit prévoir des marges de sécurité.

C’est dans ce contexte que l’Account Abstraction (AA) commence à prendre toute sa place historique. Il s’agit d’une redéfinition de la nature même du compte, visant à transformer un simple outil d’exécution de signatures en un véritable gestionnaire d’intentions.

L’essence de l’AA est que le compte ne se limite plus à une clé privée : il peut disposer de plusieurs chemins de validation, de permissions différenciées selon le type d’opération, de mécanismes de retard en cas de comportement anormal, voire de reprise de contrôle sous certaines conditions.

Ce n’est pas une remise en cause de la décentralisation, mais une correction pour sa pérennité. La véritable auto-hébergement ne signifie pas que l’utilisateur doit assumer à vie la responsabilité d’une erreur, mais que, sans dépendre d’un tiers, le compte doit disposer de mécanismes de prévention et d’auto-protection.

3. L’évolution des comptes, ce qu’elle peut apporter à Web3

J’ai souvent répété cette idée : « Derrière chaque escroquerie réussie, il y a un utilisateur qui arrête d’utiliser Web3, et sans nouveaux utilisateurs, l’écosystème n’a nulle part où aller. »

Dans cette optique, ni les agences de sécurité, ni les wallets, ni les autres acteurs du secteur ne peuvent plus considérer « erreur humaine » comme une faute isolée. Il faut assumer la responsabilité systémique de rendre le système de comptes suffisamment sûr, compréhensible et tolérant dans la pratique.

C’est précisément là que l’AA peut jouer un rôle historique. En résumé, l’AA n’est pas seulement une mise à niveau technique du compte, mais une réforme systémique de la logique de sécurité.

Ce changement se traduit d’abord par une relâchement de la relation entre compte et clé privée. Longtemps, la phrase mnémotechnique a été vue comme le passeport de la self-custody Web3. Mais la réalité a montré que cette gestion monolithique est peu adaptée à la majorité des utilisateurs. L’AA, en introduisant des mécanismes de récupération sociale, permet de dissocier le compte d’une seule clé privée. On peut définir plusieurs « gardiens de confiance » ; en cas de perte d’appareil ou de clé, la récupération devient possible via validation.

Et lorsque l’AA s’associe à Passkey, on peut même construire une expérience de sécurité proche de celle des systèmes financiers traditionnels (lecture complémentaire « Web3 sans phrase mnémotechnique : AA × Passkey, comment définir la prochaine décennie de la crypto ? »).

Autre aspect crucial : la refonte de la friction dans les transactions. Dans le système EOA classique, les frais de gaz constituent une barrière implicite à toute opération. Avec l’AA, via des mécanismes comme Paymaster, les frais peuvent être pris en charge par un tiers ou payés en stablecoins.

Cela signifie que l’utilisateur n’a plus besoin de préparer une petite quantité de tokens natifs pour chaque transfert, ni de comprendre la logique complexe du gaz. En pratique, cette expérience sans friction de paiement est une condition essentielle pour que Web3 dépasse le cercle des early adopters.

De plus, l’AA, grâce à la capacité native des contrats intelligents, permet d’enchaîner plusieurs opérations en une seule transaction atomique. Par exemple, pour un échange sur DEX, au lieu de plusieurs étapes (autorisation, signature, transaction, nouvelle signature), tout peut être regroupé en une seule opération, qui réussit ou échoue dans son ensemble, économisant des coûts et évitant des pertes dues à des échecs intermédiaires.

Plus profondément, la flexibilité des permissions du compte évolue : l’AA ne se limite pas à un contrôle binaire « tout ou rien ». Il peut s’agir d’un contrôle granulaire, avec des limites de montant, des restrictions sur certains partenaires, ou des listes blanches/blacklists pour limiter les interactions à des contrats sécurisés.

Cela signifie qu’en cas de fuite de clé, le compte dispose d’un tampon, limitant la perte potentielle.

Il est important de souligner que l’évolution vers une sécurité avancée ne dépend pas uniquement de l’adoption totale de l’AA. Les wallets existants peuvent, et doivent, aussi jouer un rôle dans la correction du modèle EOA.

Par exemple, imToken propose une fonction d’adresse locale, qui sauvegarde des adresses de confiance, permettant de réduire le risque de transfert vers une adresse malveillante ou mal copiée.

De même, le principe « What You See Is What You Sign » (Ce que vous voyez, c’est ce que vous signez) devient une norme. Il ne s’agit pas simplement d’afficher plus d’informations, mais de faire en sorte que le contenu de la signature corresponde à ce que l’utilisateur voit, comprend et attend.

imToken, dans ses processus de signature — login DApp, transferts, échanges, autorisations —, structure et rend lisible le contenu à signer, permettant à l’utilisateur de comprendre précisément ce à quoi il consent. Cela n’altère pas la nature irréversible de la transaction, mais introduit une étape de vérification rationnelle préalable, étape essentielle dans la maturation du système de comptes.

Au regard de l’ensemble, l’évolution des comptes via l’AA consiste à refondre les hypothèses fondamentales de Web3, pour permettre une adoption à grande échelle par de vrais utilisateurs. Sinon, peu importe la complexité des protocoles ou la grandeur des récits, la faiblesse fondamentale demeure : les utilisateurs ordinaires osent-ils confier leurs actifs à la chaîne sur le long terme ?

C’est dans cette optique que l’AA n’est pas une simple amélioration, mais une ligne de passage essentielle. Elle ne concerne pas seulement l’expérience, mais la capacité de Web3 à devenir une infrastructure financière inclusive, accessible à un public plus large.

En conclusion

3,35 milliards de dollars, c’est en réalité la « facture » que l’industrie a payée en 2025.

Cela nous rappelle que, lorsque l’industrie discute de conformité, d’interfaces réglementaires et d’entrée de capitaux traditionnels, si le système de comptes Web3 reste au stade « signature / autorisation unique », alors cette infrastructure financière n’est qu’un château de sable.

Le vrai enjeu n’est pas « AA deviendra-t-il la norme ? », mais plutôt : si les comptes n’évoluent pas, jusqu’où Web3 pourra-t-il aller ?

C’est peut-être cette question qui laissera la plus profonde des leçons de sécurité à l’industrie en 2025.