Wu dit le rapport technique de mars : rarissime reconfiguration de deux blocs de Bitcoin, nouvelle proposition pour faire face à la menace potentielle de l'informatique quantique, etc.

Auteur | GaryMa Le blog de Wu Blockchain

L’équipe de Wu a résumé les principaux événements du domaine de la technologie blockchain en mars :

Bitcoin

La branche principale de développement du client Bitcoin Core a fusionné la mise à jour Cluster Mempool (PR #34616), qui devrait être intégrée dans la future version Bitcoin Core 31.0. Cette mise à niveau va repenser la gestion du mempool par les nœuds, en regroupant les transactions concernées, afin d’améliorer l’efficacité de l’empaquetage des blocs et d’optimiser le calcul des frais pour les transactions RBF et CPFP. La sortie de Bitcoin Core 31.0 est prévue pour le second semestre 2026.

La société de technologie quantique BTQ Technologies a annoncé avoir déployé avec succès la première implémentation fonctionnelle de la proposition d’amélioration BIP-360 sur son testnet Bitcoin Quantum (v0.3.0). BIP-360 vise à faire face aux menaces potentielles de l’informatique quantique sur Bitcoin ; son principe central consiste à introduire un nouveau type de sortie appelé « paiement vers un Merkle root » (« pay-to-Merkle root »), afin de réduire au maximum le risque d’exposition des clés publiques elliptique. La proposition a été officiellement intégrée dans le dépôt de code Bitcoin BIP plus tôt cette année.

Le réseau Bitcoin a récemment connu une réorganisation inhabituelle de deux blocs (two-block reorg). Aux alentours de la hauteur de bloc 941880, les pools de minage Foundry USA, AntPool et ViaBTC ont formé deux branches de chaînes temporaires lors d’une compétition, puis Foundry USA a continué à miner en chaîne, rendant sa chaîne principale et finalisant la réorganisation. Les chercheurs indiquent que ce type d’événement fait partie du fonctionnement normal du mécanisme de consensus de Bitcoin, et ne constitue ni une attaque ni une défaillance du système.

Ethereum

Mise à niveau Glamsterdam : une extension extrême du L1 et une équité pour le MEV. Avancement : l’équipe de développement a déjà testé sur Devnet-5 ; plusieurs EIP clés sont en « considération d’intégration (CFI) » et devraient être activés vers juin.

Mise à niveau Hegota : résistance à la censure, renforcement de la confidentialité et réduction de la taille des nœuds. Avancement : Frame Transactions devait initialement supporter la cryptographie post-quantique et une abstraction avancée des comptes, mais en raison de la complexité, elle a été mise en pause ou simplifiée lors de la dernière réunion de développement, afin d’assurer une sortie prévue pour fin 2026.

Vitalik Buterin a déclaré que les deux axes principaux des mises à niveau de la couche d’exécution d’Ethereum sont la reconstruction de l’arbre d’état et l’ajustement de la machine virtuelle, pour résoudre le principal goulot d’étranglement lié à l’efficacité des preuves. Sur le plan de l’état, l’EIP-7864 prévoit de remplacer l’actuel arbre Merkle Patricia à six branches par une structure d’arbre binaire basée sur une fonction de hachage plus efficace, afin de raccourcir les branches Merkle, réduire la consommation de bande passante et de preuve, et optimiser l’accès au stockage. Sur le long terme, il propose de remplacer progressivement l’EVM par une machine virtuelle plus « conviviale » pour les preuves (comme RISC-V), pour améliorer l’efficacité d’exécution et des preuves ZK. La transition pourrait commencer par une utilisation via des précompilations, puis ouvrir le déploiement de contrats, et enfin transformer l’EVM en couche de compatibilité, tout en conservant la compatibilité ascendante et en ajustant uniquement les coûts en Gas.

Vitalik Buterin, cofondateur d’Ethereum, a indiqué que l’EIP-8141 finalisera la mise à niveau de l’abstraction de comptes (Account Abstraction), en introduisant le mécanisme de « transactions multi-parties (Frame Transactions) », permettant que des opérations en lot, la prise en charge du Gas par une autre partie, et les paiements confidentiels deviennent des capacités natives du protocole. Il précise que cette mise à niveau pourrait être déployée dans l’année via une bifurcation Hegota.

Virtuals Protocol a annoncé qu’en collaboration avec l’équipe d’AI de la Fondation Ethereum, elle a proposé et publié ERC-8183 (Agentic Commerce), visant à fournir aux agents IA une norme ouverte et sans permission pour le règlement commercial on-chain. La primitive centrale est « Job » : composée de trois parties, Client, Provider et Evaluator. Les fonds sont verrouillés dans une escrow via un contrat, puis réglés selon une machine à états Open→Funded→Submitted→Terminal (terminé/rejeté/expiré). L’Evaluator confirme ou rejette les livrables on-chain ; ces enregistrements peuvent être utilisés pour des systèmes de réputation ou autres applications.

Vitalik Buterin a présenté sur X un nouveau mécanisme de règles pour une confirmation rapide des transactions Ethereum. Ce mécanisme garantit que, après seulement un Slot (12 secondes), une transaction ne pourra pas être annulée (Non-revert). Vitalik souligne que la sécurité repose sur deux hypothèses : la majorité des validateurs sont honnêtes, et la latence du réseau est inférieure à environ 3 secondes. Bien que cette sécurité soit légèrement inférieure à la finalité économique (Economic Finality), elle offre une fiabilité très élevée pour de nombreux cas d’usage.

La Fondation Ethereum a publié un article exposant sa vision pour l’écosystème futur de L1 et L2. Elle indique que L1 conservera son rôle de centre mondial de règlement et de DeFi, tandis que la mission principale de L2 évolue de simple extension à fourniture de services différenciés et personnalisés. La Fondation recommande que L2 atteigne au moins le standard de sécurité Stage 1, et encourage son évolution vers Stage 2, la synchronisation de la composabilité (« sync composability ») et le déploiement de Rollups « natifs ». Elle s’engage aussi à continuer d’étendre L1 et les Blob (actuellement environ 30% de capacité utilisée), et à résoudre en priorité la fragmentation de l’expérience cross-chain dans l’écosystème multi-chaînes.

Ethereum a publié son plan de mise à niveau le plus détaillé à ce jour : sept mises à niveau, cinq objectifs, une reconstruction majeure ; le système de consensus, appelé « mécanisme de consensus », fonctionne actuellement normalement et a été éprouvé en pratique, mais il a été conçu pour une époque plus ancienne, limitant la capacité du réseau ; tout schéma de confidentialité construit par Ethereum doit aussi être résistant au quantique. La résolution simultanée de ces deux enjeux éliminera un obstacle majeur à l’adoption massive.

Ethereum L2s

Gnosis et Zisk proposent de construire le cadre « Zone Économique d’Ethereum » (EEZ), visant à permettre une exécution coopérative entre le réseau principal d’Ethereum et divers Layer 2, via le partage d’infrastructures, pour réduire la duplication et les frictions techniques, et améliorer l’expérience utilisateur ; la Fondation Ethereum participe déjà au financement. La solution prévoit d’atténuer la fragmentation de l’écosystème Layer 2 grâce à un environnement d’exécution unifié et à l’utilisation par défaut d’un mécanisme de paiement en ETH.

Polygon a annoncé le lancement de l’outil d’IA Agent CLI, permettant aux agents IA de créer des portefeuilles sur la chaîne Polygon, d’effectuer des transferts et de gérer des fonds, avec des fonctionnalités telles que l’envoi de tokens, l’échange, le pont cross-chain, l’entrée en monnaie fiduciaire, la consultation du solde et des transactions ; il supporte aussi l’enregistrement en tant qu’identité NFT on-chain via la norme ERC-8004, avec une note de réputation, et offre une micro-paiement HTTP x402, permettant de payer les frais Gas en stablecoins et de stocker des clés localement.

Optimism a annoncé qu’elle cessera de supporter op-geth et op-program le 31 mai 2026 ; d’ici là, des correctifs de sécurité et des réparations de vulnérabilités critiques continueront, mais le développement de nouvelles fonctionnalités, y compris la prochaine hard fork Karst, sera uniquement effectué sur op-reth. De plus, le programme de preuve de défaillance (fault proof) d’op-program sera migré vers kona-client ; le déploiement actuel devrait rester opérationnel avant la hard fork Karst.

Solana

La proposition de gouvernance SIMD-0266 de Solana a été approuvée. Soumise par Anza l’année dernière, elle introduit un nouveau modèle de jetons p-tokens pour améliorer l’efficacité de calcul, ce qui pourrait théoriquement augmenter la performance des transactions de Solana jusqu’à environ 19 fois. Le vice-président technique de la Fondation Solana indique que cette mise à jour devrait être déployée sur le réseau principal en avril.

La Fondation Solana a publié un rapport intitulé « Confidentialité sur Solana », proposant un cadre de confidentialité pour l’adoption institutionnelle. Elle estime que la prochaine étape de l’application dans la cryptosphère dépendra davantage de mécanismes de confidentialité personnalisés que de la transparence. Quatre modes de confidentialité sont proposés : pseudonymisation, confidentialité, anonymat et système de confidentialité totale. La Fondation indique que la haute capacité et la faible latence de Solana permettent des technologies de preuve à divulgation nulle (Zero-Knowledge Proofs), qui, tout en protégeant les données de transaction, répondent aux exigences réglementaires, par exemple via des mécanismes de divulgation contrôlée ou de preuve de conformité.

Sécurité

La société de sécurité BlockSec a refait des tests sur EVMBench, estimant que ce benchmark surestime la capacité de l’IA à automatiser l’audit de contrats intelligents ; en l’étendant à 26 configurations et en y intégrant 22 attaques réelles post-2026, les résultats montrent qu’en 110 tests, le taux de réussite de l’IA dans l’exploitation d’attaques réelles est de 0 %, mais ses performances en détection de vulnérabilités sont proches du rapport initial, certains modèles pouvant identifier des vulnérabilités connues.

Selon GoPlus Security, un nouveau malware nommé Infiniti Stealer cible actuellement les portefeuilles cryptographiques des utilisateurs Mac. Il induit l’utilisateur en erreur en falsifiant une page de vérification Cloudflare, puis vole identifiants de navigateur, clés macOS Keychain, portefeuilles cryptographiques et autres informations sensibles, tout en disposant de capacités furtives telles que la détection de sandbox et l’exécution différée. Il est conseillé de ne pas cliquer sur des liens inconnus ni d’exécuter des commandes provenant de sources non vérifiées.

Selon Aikido Security, le malware GlassWorm a récemment été mis à jour : il utilise le champ memo des transactions Solana comme canal de communication dissimulé pour recevoir des instructions C2, et mène des attaques en plusieurs étapes. Il se propage en usurpant des paquets open source comme npm ou PyPI, et peut voler des clés privées, des mnémoniques, des cookies de navigateur, des données de session, etc., puis déployer un cheval de Troie RAT. Il peut aussi cibler des portefeuilles matériels comme Ledger ou Trezor en affichant de fausses interfaces pour inciter à saisir la mnémonique, et supporte l’enregistrement clavier, la capture d’écran et l’exécution à distance. Les chercheurs rappellent aux développeurs d’être prudents lors de l’installation de dépendances et de vérifier l’origine des paquets.

Selon une divulgation de Socket Security, des chercheurs ont découvert 5 paquets npm malveillants ciblant des développeurs Ethereum et Solana. Ils utilisent la technique de typosquatting pour inciter à l’installation, volent des clés privées, puis envoient les données à l’attaquant via Telegram. Sur ces 5 paquets, 4 ciblent Solana et 1 Ethereum. Ces paquets détournent des fonctions clés, en téléversant les clés privées avant de renvoyer un résultat normal. Les chercheurs ont demandé le retrait de ces paquets à npm, et rappellent que les clés privées concernées doivent être immédiatement transférées.

Guillermo Rauch, CEO de Vercel, a publié un article révélant qu’un utilisateur, lors du développement avec Opus 4.6 et OpenClaw, a vu l’IA produire un identifiant de dépôt GitHub (repoId) falsifié alors que l’ID correct était connu, puis a déclenché un déploiement via API. Comme cet ID correspondait à un vrai projet open source, cela a entraîné un « décalage de déploiement » de code non lié. Le CISO de SlowMist, 23pds, avertit que, avec la généralisation des agents IA, les attaques automatisées visant le déploiement via empoisonnement de GEO (marketing par recherche IA), décalages de recherche IA, etc., deviendront un nouveau défi en sécurité.

Une équipe de recherche en sécurité, Ctrl-Alt-Intel, a divulgué qu’un groupe supposé lié à la Corée du Nord mène des attaques contre des plateformes de staking, des fournisseurs de logiciels pour bourses, et des échanges cryptographiques. Les attaquants exploitent la vulnérabilité React2Shell (CVE-2025–55182) et des identifiants AWS déjà obtenus pour compromettre l’environnement cloud, en énumérant des ressources comme S3, EC2, RDS, EKS, ECR, puis en extrayant des clés et identifiants depuis Secrets Manager, fichiers Terraform, configurations Kubernetes et conteneurs Docker. Ils ont téléchargé 5 images Docker et volé du code source, notamment des composants logiciels liés à ChainUp. L’infrastructure d’attaque inclut un serveur en Corée du Sud, 64.176.226[.]36, et le domaine itemnania[.]com. Le rapport indique que cette activité présente des caractéristiques similaires à celles attribuées à la Corée du Nord, mais l’attribution reste de confiance moyenne, et la provenance des identifiants AWS n’est pas clairement établie.

Le CISO de SlowMist, 23pds, a publié un message indiquant que la bibliothèque Python LiteLLM, avec environ 97 millions de téléchargements mensuels, subit une attaque supply-chain sur PyPI : l’attaquant peut voler des informations sensibles via la commande pip install litellm. Les données ciblées incluent clés SSH, identifiants cloud (AWS / GCP / Azure), fichiers de configuration Kubernetes, identifiants Git, clés API dans variables d’environnement, historique Shell, informations de portefeuilles cryptographiques, mots de passe de bases de données, etc. Il avertit que, pour l’instant, les attaquants ont volé environ 300 Go de données et 500 000 identifiants, et recommande aux développeurs de crypto de vérifier immédiatement, de changer rapidement clés et identifiants, de contrôler les logs, l’exposition des données sensibles, afin d’éviter des pertes graves similaires à l’incident Trust Wallet.

Le CISO de SlowMist a publié une alerte, exhortant tous les utilisateurs iOS à mettre à jour leur système rapidement. Selon les observations, un programme d’attaque nommé DarkSword a été divulgué. Sa capacité principale consiste à extraire des données forensic depuis les appareils iOS via des interfaces HTTP. Dans un scénario réel, l’attaquant pourrait induire l’utilisateur en erreur par ingénierie sociale ou attaques de watering hole, puis voler les données internes de l’iPhone ou de l’iPad et les transférer vers un serveur contrôlé.

Autres

L’équipe de Sui annonce que son nouveau machine virtuelle (VM) a été publiée publiquement et que son programme de primes pour vulnérabilités est ouvert ; elle invite la communauté à réaliser un audit de sécurité avant le déploiement sur le réseau principal. Cette version est une réécriture de la couche d’exécution, introduisant un cache par paquet et des fonctionnalités Move de nouvelle génération, et a déjà terminé des audits internes ainsi que ceux réalisés par des organismes comme OSEC, Zellic, etc.

L’annonce officielle de Sui indique que le réseau principal a été mis à jour vers la version V1.68.1, et que le protocole a été porté à la version 118. La mise à jour principale inclut l’activation des address aliases (alias d’adresse) sur le réseau principal, le renforcement de la sécurité des métadonnées dans Sui System, et la correction d’un problème pouvant faire planter tous les nœuds lors de transactions simulées contenant une tentative de retrait invalide.

Polkadot a officiellement annoncé que sa mise à niveau du modèle d’émission a commencé le 14 mars (jour de Pi). Ce changement de protocole introduit principalement deux mesures : d’une part, la mise en place d’un plafond d’offre maximale de 2,1 milliards de DOT (environ 80 % déjà émis) ; d’autre part, à partir du 14 mars, la réduction d’environ 53 % du taux d’émission de DOT, avec une réduction supplémentaire prévue à l’avenir. La société indique que ces changements ont été proposés par la communauté et approuvés par OpenGov, dans le but de limiter l’émission à long terme, de maintenir les incitations, et de fournir un plan d’émission transparent et prévisible.

Cosmos Labs indique dans un article qu’une vulnérabilité affectant récemment certains réseaux utilisant la chaîne Cosmos EVM a été identifiée ; elle concerne une fonctionnalité utilisée par certaines chaînes, et elle a été rencontrée dans l’environnement de production de Saga. Cosmos Labs affirme avoir collaboré avec Saga et ses partenaires pour enquêter, coordonner les mesures correctives, et publier des correctifs pour les chaînes concernées.

Brevis lance aujourd’hui Brevis Vera, un système d’authentification de l’authenticité des médias basé sur des preuves à divulgation nulle (ZK), destiné à vérifier si les images et vidéos publiées proviennent de vrais appareils, et à confirmer qu’elles n’ont subi que des modifications éditables légitimes et démontrables. Le système combine les signatures matérielles de capture de C2PA avec des preuves à divulgation nulle générées par Brevis Pico zkVM, afin de conserver en permanence des preuves cryptographiques de la source du média tout au long du processus d’édition. Brevis Vera est désormais disponible en open source.

L’équipe de développement de Bitcoin Layer2, Stacks Labs, indique que sa mise à niveau SIP-034 a été finalisée avec une implémentation sur le réseau principal. En optimisant la gestion des limites de ressources des transactions, elle augmente « jusqu’à environ 30 fois » la « capacité effective » du réseau pour certaines applications DeFi. La mise à niveau modifie le mécanisme selon lequel « dès qu’un budget de ressource atteint une limite, toutes les limites sont réinitialisées », en le remplaçant par une simple réinitialisation des limites individuelles uniquement pour celles qui ont été épuisées, améliorant ainsi le débit dans les blocs. L’équipe affirme que cette mise à niveau ne modifie pas directement l’économie des jetons STX, mais pourrait, avec l’augmentation de l’activité du réseau, entraîner plus de transactions et de frais.