27 juin 2021

Le besoin radical de mettre à jour les protocoles de sécurité blockchain

Par admin2020

La finance décentralisée (DeFi) est là pour rester avec plus de 100 milliards de dollars de valeur totale bloquée (TVL), mise en évidence la preuve de la foi dans ces nouveaux outils financiers. Cet investissement continuera d’augmenter, mais il semble qu’à chaque nouveau record de TVL, une autre attaque de réseau soit signalée avec des pertes astronomiques.

La criminalité cryptographique a chuté de 57% en 2020, mais les piratages DeFi ont augmenté, coûtant aux entreprises et aux investisseurs des milliards de dollars américains. Rien qu’en mars, il y a eu plusieurs attaques en l’espace de cinq jours, avec Le réseau payant perd 180 millions de dollars. Plus tard en mai, PancakeBunny perdu plus de 200 millions de dollars dans un exploit de prêt flash.

Il est clair qu’il y a beaucoup trop de failles et de piratages dans les protocoles de sécurité actuels de la blockchain. Des tirages de tapis aux escroqueries par hameçonnage, la sécurité et la technologie de cet espace ne sont pas aussi matures que les chiffres le suggèrent. Mais il existe des pratiques essentielles que les développeurs et les utilisateurs peuvent mettre en œuvre pour combler cet écart.

La technologie décentralisée est toujours centralisée

Peu importe à quel point un protocole prétend être décentralisé, la structure sous-jacente est toujours centralisée. En regardant l’une de nos principales fonctionnalités d’Internet, les enregistrements DNS, chaque nom de domaine est toujours centralisé – appartenant à un gouvernement, à un État ou à une entreprise qui a l’autorité ultime sur le domaine et qui peut le fermer s’il le souhaite.

Les contrats intelligents sont un exemple de centralisation au sein de la décentralisation. Ceux qui écrivent des contrats intelligents Ethereum ou Binance ont le dernier mot sur le contenu du code, et il existe des moyens de coder des programmes néfastes, comme des tirages de tapis, dans des contrats intelligents.

Pendant le boom de l’agriculture de rendement de l’été 2020, nous avons vu de nombreux protocoles apparaître pour tirer profit de l’argent versé dans DeFi, et cela s’est poursuivi cette année. En mars, TurtleDex a exécuté une traction de tapis, qui était en fait une porte dérobée dans le contrat intelligent qui a entraîné le vol de 2,5 millions de dollars aux investisseurs. Cette fonctionnalité intentionnelle permet aux développeurs de programmer des escroqueries qui sont ensuite exécutées en fonction d’autres événements dans le code, et TurtleDex est l’un des nombreux projets cette année qui a programmé un tirage de tapis.

En rapport: L’agriculture de rendement est une mode, mais DeFi promet de changer la façon dont nous interagissons avec l’argent

Les audits de contrats intelligents sont un bon moyen d’éviter les tirages au sort, mais même dans ce cas, nous voyons des cas où les développeurs remplaceront le contrat intelligent audité par un contrat non audité. Le cas de Compound démontre à quel point il est facile pour un projet d’escroquerie de gagner du poids sur des noms connus et réputés dans l’espace. Ils ont pu rapidement capitaliser sur Harvest Finance et Yearn.finance avant de tirer le tapis sur leurs utilisateurs et de repartir avec des millions de dollars en crypto.

En rapport: L’audit par défaut pour les projets DeFi est un must pour la croissance de l’industrie

Tendances récentes des hacks

En dehors des tirs de tapis, il existe de nombreuses attaques populaires qui peuvent faire s’effondrer toute une entreprise si elles ne sont pas préparées. Une attaque à 51% – c’est-à-dire lorsqu’un groupe de mineurs contrôle plus de 50% du taux de hachage minier du réseau, leur permettant d’exclure ou de manipuler des enregistrements de transaction pour exécuter des dépenses doubles ou perturber une blockchain – est toujours fréquente. Firo et Sourire les deux ont récemment subi 51% d’attaques.

Même certains projets de crypto-monnaie avec les principales tailles de capitalisation boursière ne sont toujours pas sécurisés. En février, c’était signalé que 200 jours de transactions XVG sur le réseau Verge ont été effacés, étant effectivement la «réorganisation la plus profonde qui ait jamais eu lieu dans un top 100 crypto».

Nous acceptons ces erreurs comme faisant partie de l’expérience blockchain, mais quelle serait la réaction si la même chose arrivait à une grande banque, par exemple ? Il y aurait probablement beaucoup plus de gros titres dans les médias et de tollé de la part des utilisateurs et des clients. Ces événements passent largement inaperçus en crypto car il y a moins d’utilisateurs, mais avec le récent marché haussier, cela est en train de changer. Inévitablement, la sécurité des blockchains publiques sera davantage surveillée.

Pratiques pour prévenir les piratages comme les tirages de tapis

Malheureusement pour les développeurs, les hacks sont toujours possibles lorsque l’on travaille en crypto. La question n’est pas de savoir comment empêcher les piratages, mais comment empêcher vos chances d’être piraté. Quelques avancées dans les portefeuilles matériels, comme Le portefeuille multisignature de Gnosis Safe, par exemple, sont des éléments clés pour améliorer la sécurité globale.

L’utilisation d’un portefeuille multisig permet à plusieurs utilisateurs de détenir des clés pour le même portefeuille et nécessite une participation mutuelle pour exécuter des actions sur le compte. Parce qu’un portefeuille comme celui-ci nécessite la contribution de plusieurs utilisateurs pour effectuer des transactions, il est presque impossible d’exécuter des tirages de tapis avec ce type de coffre-fort.

Une autre pratique de sécurité pour empêcher les tractions de tapis est les timelocks. De nombreuses applications décentralisées utilisent des verrous temporels de sorte que si un développeur essaie d’attirer ses utilisateurs, vous disposez d’un avertissement d’environ 12 à 24 heures pour retirer les fonds.

Ces types de pratiques de sécurité encourageront une plus grande confiance dans DeFi et créeront une culture autour de la sécurité qui fera progresser notre industrie.

Améliorer la sécurité du portefeuille en crypto

La sécurité du portefeuille revient en fin de compte aux développeurs et aux utilisateurs qui mettent en œuvre des pratiques plus intelligentes. Des audits de sécurité réguliers et des pratiques de sécurité internes peuvent tous contribuer à des portefeuilles plus sûrs.

Bien que les audits de sécurité soient une bonne solution, Uniswap et d’autres basé sur les teneurs de marché automatisés les échanges décentralisés (DEX) sont sans autorisation, il est donc impossible d’effectuer des audits réguliers. La meilleure pratique consiste à comprendre les spécificités des pièces de « lancement équitable » – des projets lancés à partir d’un DEX. Bien que beaucoup de ces projets soient de haute qualité, beaucoup sont connus pour avoir des exploits majeurs. Le code open source permet à quiconque d’effectuer un audit plus facilement et de vérifier si le contrat intelligent est sûr, donnant aux utilisateurs plus d’outils pour pratiquer une bonne sécurité.

Cela peut sembler un gros exploit de demander à un utilisateur de pratiquer une bonne sécurité, mais cela est nécessaire pour accéder aux nombreux avantages des crypto-monnaies et, en particulier, de DeFi. Avec les banques traditionnelles, la banque est responsable de la sécurité, mais en crypto, la sécurité se résume aux pratiques des développeurs et des utilisateurs.

Si vous oubliez votre mot de passe bancaire ou envoyez des fonds à la mauvaise personne, vous pouvez contacter votre banque pour atténuer la transaction jusqu’à ce qu’elle soit résolue. Mais en crypto, si vous perdez vos clés ou envoyez de l’argent à la mauvaise adresse, il n’y a pas d’option de sauvegarde. L’un des nombreux avantages, bien sûr, est que vous n’avez pas à vous soucier de savoir si vos fonds sont disponibles en crypto, tandis que les banques peuvent fermer leurs portes et imposer des contrôles de capitaux, comme quoi. arrivé lors de la crise bancaire de 2015 en Grèce.

Conclusion

En tant que développeurs, nous devons mettre en œuvre une validation croisée et des audits de sécurité, tout en nous tenant mutuellement responsables du développement de pratiques de sécurité de plus en plus améliorées.

Les utilisateurs doivent envisager de mettre en œuvre leurs propres protocoles de sécurité et comprendre les nuances du stockage et les scénarios de piratage potentiels. Une bonne pratique pour les détenteurs de crypto-monnaies passives consiste à avoir un portefeuille matériel déconnecté d’Internet ou un portefeuille papier 100 % hors ligne et ne nécessitant pas de synchronisation en ligne pour les mises à jour du micrologiciel.

Les attaques de phishing, l’un des types originaux de piratage Internet, sont encore courantes et fréquentes. Le moyen de lutter contre les tentatives de phishing est de vérifier si l’expéditeur est authentique.

N’entrez pas vos clés privées ou vos phrases de départ sur un site Web et ne les envoyez à personne dans les canaux publics ou les DM. En règle générale, vous ne devez entrer votre phrase de départ que lors de la configuration initiale de votre portefeuille. De plus, vous ne devez entrer votre phrase de départ que si vous devez récupérer votre portefeuille après avoir oublié votre mot de passe, si vous devez importer un portefeuille existant sur un nouvel appareil ou utiliser le logiciel de portefeuille compatible. Il est généralement recommandé d’utiliser des périphériques de portefeuille matériel qui ne divulgueront jamais votre graine à aucun type de logiciel – même une application ou un logiciel de portefeuille de confiance ne pourrait être recommandé dans de nombreux cas.

Alors que nous continuons à construire notre nouvelle économie mondiale (principalement) DeFi, il est crucial que la sécurité soit améliorée afin que l’adoption et les capitaux traditionnels puissent continuer à affluer dans l’espace, afin que la prochaine génération puisse accéder aux nouvelles frontières de l’indépendance financière.

Cet article ne contient pas de conseils ou de recommandations d’investissement. Chaque mouvement d’investissement et de négociation comporte des risques, et les lecteurs doivent effectuer leurs propres recherches avant de prendre une décision.

Les points de vue, pensées et opinions exprimés ici n’engagent que l’auteur et ne reflètent ou ne représentent pas nécessairement les points de vue et opinions de Cointelegraph.

Kadan Stadelmann est un développeur de blockchain, un expert en sécurité des opérations et le directeur de la technologie de la plate-forme Komodo. Son expérience va de la sécurité des opérations dans le secteur gouvernemental et du lancement de startups technologiques au développement d’applications et à la cryptographie. Kadan a commencé son parcours dans la technologie blockchain en 2011 et a rejoint l’équipe de Komodo en 2016.