Les + populaires

BTC ETH SOL XRP BNB USDC USDT

Suivez-nous

Le piratage de trous de ver illustre le danger des ponts inter-chaînes DeFi

Cela vous prendra : 8 minutes
IAavec
Titres Titres

Solana est devenu l’un des réseaux de blockchain de contrats intelligents à la croissance la plus rapide depuis son lancement officiel en mars 2020.

La valeur totale verrouillée (TVL) sur les protocoles de financement décentralisé (DeFi) sur le réseau est passée de près de 152 millions de dollars en mars 2021 à 8,08 milliards de dollars au moment de la rédaction, selon les données de DefiLlama.

Simultanément, le réseau a également été soumis à plusieurs problèmes et pannes de réseau. Plus récemment, le pont de jetons Wormhole a été touché par un exploit de sécurité le 3 février qui a abouti à la perte de 120 000 jetons Ether (wETH) enveloppés, d’une valeur de plus de 375 millions de dollars au prix actuel de l’Ether (ETH).

Cet exploit était le plus important à ce jour en 2022 et le deuxième plus grand piratage DeFi jamais réalisé, après le piratage de Poly Network où plus de 600 millions de dollars ont été volés sur trois réseaux de blockchain différents lorsqu’un pont Ethereum a été compromis.

Wormhole est un protocole de pont à jetons qui connecte plusieurs réseaux de chaînes de blocs comme Ethereum, Solana, Terra, BNB Smart Chain, Polygon, Avalanche et Oasis. Il permet aux utilisateurs d’envoyer et de recevoir des jetons entre ces réseaux sans avoir besoin d’un échange centralisé ou de processus de conversion fastidieux. Alors que l’Ether enveloppé était le seul actif impacté par cet exploit, Certik, une société d’audit de contrats intelligents, a mentionné que le pont de Wormhole vers le réseau de blockchain Terra pourrait être affecté par la même vulnérabilité que le pont Solana.

Le protocole de pontage de jetons a publié un rapport d’incident détaillé qui suit la chronologie du piratage et tous les aspects associés, y compris les audits de sécurité, les primes de bogues et la feuille de route de sécurité. Cointelegraph a discuté de ce piratage avec Max Galka, le PDG de la société d’analyse de données blockchain Elementus. Il a dit:

«Environ trois heures avant que l’Ether ne soit retiré de Wormhole, le portefeuille qui détient actuellement les fonds volés avait une transaction plus petite déposée par Tornado Cash – un mélangeur qui anonymise les transactions. Il y a eu un transfert d’un mélangeur sur Ethereum vers ce portefeuille contenant maintenant les fonds volés.

Galka a en outre mentionné que s’il est évident que le pirate informatique aurait expérimenté Tornado Cash en premier lieu, il est moins clair pourquoi il utiliserait le mélangeur pour déposer des fonds exactement dans le même portefeuille avant d’exécuter un exploit majeur.

Peu de temps après, Wormhole a lancé un programme de primes de bogues avec Immunefi le 12 février avec une récompense de 10 millions de dollars qui couvre les contrats intelligents, l’interface utilisateur Web (UI), les nœuds gardiens et les intégrations de Wormhole. Cela en fait le plus grand programme de primes de bogues du cryptoverse, à égalité avec le programme de primes de bogues de Maker DAO.

Jump Crypto, la branche d’investissement cryptographique de la société commerciale Jump Trading et l’un des principaux investisseurs soutenant Wormhole, est intervenue pour « rendre les membres de la communauté entiers ». La société de capital-risque a remplacé les 120 000 ETH et a déclaré via un message Twitter le jour même du piratage que la société croit dans un avenir multichaîne et que Wormhole est une infrastructure essentielle pour cet avenir.

Problèmes de sécurité liés à l’activité inter-chaînes

Vitalik Buterin, co-fondateur d’Ethereum, a écrit lors d’une session Reddit AMA avec l’équipe de recherche de la Fondation Ethereum où il a déclaré que l’avenir de la technologie blockchain est multichaîne et non inter-chaîne. Buterin a raisonné cela avec les problèmes de sécurité des ponts et des actifs de jetons non natifs en mettant l’accent sur la probabilité d’attaques de 51%. Il a déclaré: « Il est toujours plus sûr de détenir des actifs natifs d’Ethereum sur Ethereum ou des actifs natifs de Solana sur Solana que de détenir des actifs natifs d’Ethereum sur Solana ou des actifs natifs de Solana sur Ethereum. »

Jagdeep Sidhu, le directeur de la technologie de Syscoin, un réseau de blockchain de preuve de travail (PoW) qui est «fusionné» avec Bitcoin, a parlé plus en détail à Cointelegraph de ce récit. Il a dit: «Il veut simplement dire que là où il y a une blockchain, il y a une zone de souveraineté au sein de cette chaîne qui a le libre arbitre sur la sécurité de cette blockchain. Chaque fois que les blocs sont annulés, par exemple, tous les systèmes dépendant de la sécurité de cette chaîne sont également annulés. Pour cette raison, lors de la création de ponts inter-chaînes, vous devez soit assumer un nouveau système de consensus qui surveillera et agira sur les retours en arrière, soit attendre avec prudence les possibilités d’un retour en arrière, en fonction de la valeur de la transaction.

Sidhu a en outre déclaré que le piratage de Wormhole a révélé la complexité de la création d’échanges et de ponts inter-chaînes, car l’attaque n’a été activée qu’en raison d’une externalité de l’équipe Solana qui a rendu une certaine opération dans l’héritage du code de consensus. Cette opération a ouvert une faille dans la logique de Wormhole dont le pirate a profité.

Même si ce piratage particulier a eu un impact sur un pont inter-chaînes, il convient de noter que, techniquement, il s’agissait d’un exploit de contrat intelligent, qui existe depuis que le concept de contrats intelligents existe. Galka a déclaré :

«L’histoire des contrats intelligents a impliqué un flux assez constant de vulnérabilités et de piratages remontant aux tout premiers jours d’Ethereum lorsque le DAO a été attaqué en 2016. En général, les contrats de pont inter-chaînes ont des soldes importants, ce qui en fait des cibles de choix. Historiquement, il y a toujours eu des hacks sur les contrats intelligents. Je m’attendrais à ce que cela continue.

Cointelegraph a également discuté de cet aspect du piratage avec Anton Bukov, co-fondateur du réseau 1inch, un agrégateur DEX, qui a mentionné que la cause qui a conduit à ce piratage était un bogue de contrat intelligent de bas niveau. Cela était lié au mécanisme que Solana utilisait pour les appels de contrats intelligents précompilés. Il a noté que le correctif de bogue était accessible au public sur le référentiel GitHub du protocole d’interopérabilité pendant plus de deux semaines avant le piratage.

Le correctif étant accessible au public aurait pu être le signal permettant à l’exploiteur d’identifier le piratage. Bukov était également d’accord avec les préoccupations de Buterin concernant les opérations inter-chaînes et a déclaré que « les opérations inter-chaînes sont beaucoup plus dangereuses et vulnérables que toute autre opération de blockchain ».

Cumuls sans connaissance

Malgré la croissance rapide de Solana dans le court laps de temps qui s’est écoulé depuis son lancement, le réseau est devenu de plus en plus sensible aux problèmes à mesure que de plus en plus d’utilisateurs commencent à embarquer. Le réseau a connu un mauvais début d’année lorsqu’il a dû faire face à six pannes de réseau en janvier, ce qui a causé beaucoup de frustration à sa communauté.

En rapport: Évolutivité ou stabilité ? Les pannes du réseau Solana montrent que des travaux sont encore nécessaires

Sidhu a souligné que Solana, comme tous les autres réseaux de contrats intelligents alternatifs, utilise une architecture monolithique qui ne permet pas d’économies d’échelle. Pour cette raison, à mesure que de plus en plus d’utilisateurs accèdent au réseau, les frais et les ressources nécessaires pour maintenir le réseau stable, sécurisé et décentralisé augmenteront.

Suggérant une alternative à ce problème imminent, il a déclaré : « La meilleure façon que nous connaissions d’évoluer est d’utiliser une architecture modulaire. C’est ce vers quoi Ethereum et certaines autres chaînes de blocs telles que Syscoin sont en train de se diriger en raison de la création de solutions de mise à l’échelle telles que des rollups optimistes et sans connaissance.

Prouvant une solution détaillée à ce problème, Sidhu a mentionné que la meilleure solution pour le chaînage croisé des actifs est d’utiliser des preuves à connaissance nulle (ZK) comme une meilleure alternative pour que le pool d’argent repose sur un consensus externe tel qu’un multipartite. protocole qui requiert une hypothèse de majorité honnête des validateurs externes. Cette utilisation des preuves ZK remplacerait le consensus externe par des preuves mathématiques de validité.

Néanmoins, il a également ajouté qu’aucune des solutions n’est aussi sécurisée que l’utilisation d’une couche 1 fiable. Il a ajouté : « Un pont ZK est une amélioration prometteuse du pontage inter-chaînes, mais je ne pense pas qu’il devrait être utilisé comme un croisement générique. -chaîne DeFi, car, par définition, il ne peut pas fournir autant de sécurité que la simple utilisation d’une couche 1 sécurisée.

Bukov a également noté les possibilités de répliquer ce hack avec des ponts sur d’autres réseaux de blockchain :

« Historiquement parlant, il y a eu des cas où une partie exploite du code, puis des imitateurs se sont emparés de cet exploit initial. En 2017, une série de portefeuilles Ethereum multisignatures ont vu leur code sous-jacent piraté. Dans ce cas, plusieurs piratages de suivi ont eu lieu par d’autres acteurs saisissant la même vulnérabilité. »

Ce piratage pourrait être un signe pour les principaux développeurs de protocoles de pontage interopérables et d’autres réseaux de blockchain de contrats intelligents de procéder avec prudence pour les contrats intelligents et les actifs inter-chaînes et de travailler sur des mises à jour régulières, des audits, des primes de bogues, etc., pour combler des lacunes coûteuses comme ceux-ci dans leurs opérations.