Titres Titres
Les hacks de bridge font constamment la une des journaux. Pour maintenir la sécurité, nous devons entretenir un sain sentiment de paranoïa, dit Jean Shutt du À travers le protocole.
Au cours de l’année écoulée, des attaques régulières, réussies et dommageables ont visé des ponts inter-chaînes. Ils ont entraîné le vol de quantités massives d’actifs.
Cette tendance révèle la nécessité d’un examen et d’une réflexion accrus axés sur la manière dont les ponts blockchain sont sécurisés et protégés.
Le titre le plus récent a été l’exploit du pont Ronin d’Axie Infinity qui a entraîné le vol de plus de 600 millions de dollars dans Ethereum et USDC par les attaquants.
L’exploit a eu lieu le 23 mars mais il a fallu plus d’une semaine pour que le vol soit détecté. Les développeurs de Ronin ont finalement révélé que l’attaquant avait utilisé des clés privées compromises pour de faux retraits et vidé les fonds du pont Ronin dans une paire de transactions.
Cet exploit est un vol dévastateur qui a des conséquences massives pour les propriétaires légitimes de ces actifs. Mais aussi, cela a des conséquences pour l’industrie de la crypto et de la DeFi dans son ensemble. Surtout ceux qui se concentrent sur les protocoles de pont d’actifs et s’efforcent de renforcer la sécurité, d’instaurer la confiance et d’améliorer les fonctionnalités.
Il y a quelques leçons ici.
Ne fais confiance à personne, encore moins à toi-même
Lorsqu’il s’agit de la sécurité des ponts, ou de toute forme de sécurité de protocole, il est crucial d’avoir un système en place qui décentralise la confiance et la surveillance.
Pour ce faire, nous devons maintenir un sain sentiment de paranoïa. Cette paranoïa, associée à des systèmes de sécurité et à une expertise technique, se traduira par un système de surveillance de la sécurité robuste. Cela inclut des alertes qui feront sortir les bonnes personnes du lit au milieu de la nuit, si quelque chose tourne mal ou semble avoir mal tourné.
Nous devrions construire des systèmes qui n’exigent même pas que nous agissions comme dignes de confiance, si nos propres points d’accès étaient compromis. Vous pourriez considérer cela comme une précaution « Jekyll and Hyde », où vous construisez un système capable de résister à votre tentative de le casser si vous changez complètement de camp.
Hacks de pont : Avoir des redondances en place
Des systèmes de surveillance solides doivent combiner des bots conçus et des couches de contrôle à propulsion humaine. Tout ce qu’une équipe d’ingénieurs construit doit être développé en conjonction avec des robots qui effectuent une surveillance automatisée. Mais il ne suffit pas de compter sur ces bots. Les bots peuvent, et échouent.
Les services de surveillance tiers qui peuvent alerter une équipe d’ingénierie des problèmes, des violations ou des alertes constituent également une couche de sécurité précieuse.
Une couche supplémentaire importante de sécurité et de résolution des litiges peut être développée avec un oracle optimiste (OO).
Par exemple, l’OO d’UMA aide à sécuriser Across, un protocole de pont d’actifs qui incite les relais à avancer les transferts de fonds pour les utilisateurs.
Ces relais sont remboursés à partir d’un pool de liquidités dans les deux heures. Les transactions sont assurées à l’aide de l’OO, qui agit comme une couche de résolution des litiges. L’OO vérifie et valide tous les contrats entre l’utilisateur qui transfère les fonds et l’assureur percevant les frais.
L’OO fonctionne comme une « machine à vérité » et est alimenté par une communauté de personnes qui fournissent une vérification et une résolution des données dans le monde réel, dans les rares cas de litige.
Exercice, pratique et préparation
Les meilleurs systèmes de sécurité au monde seront toujours aux prises avec des attaques innovantes et stratégiques. Les attaquants ont montré leur capacité et leur volonté de rester en phase avec l’innovation. C’est une course aux armements.
C’est pourquoi il est crucial de tester correctement et vigoureusement vos protocoles de sécurité pour vous assurer qu’ils peuvent être fiables en cas de besoin.
Il y a peu de façons de le faire.
Envisagez d’avoir un point de rencontre de crise au sein de votre organisation. Pensez-y comme à un gros bouton rouge que quelqu’un – n’importe qui – peut appuyer. Il peut garantir que les bonnes personnes reçoivent l’alerte appropriée, même si c’est par précaution.
Bridge Hacks : Tests
La seule façon de s’assurer que le système fonctionne, cependant, est de le tester. C’est pourquoi avoir des exercices est crucial. Il est possible qu’un membre clé de l’équipe n’ait pas correctement configuré le système d’alerte ou qu’un certain déclencheur soit cassé. Avoir des exercices réguliers et inattendus est un excellent moyen de s’assurer que le système (et les membres de l’équipe) réagissent de la bonne manière, au bon moment.
Enfin, il est impératif de faire évoluer votre approche de la sécurité à mesure que le profil de risque de votre protocole change ou se développe.
Plus vous êtes grand, plus vous tomberez fort. Il est donc important de cultiver un état d’esprit de sécurité qui grandit à mesure que votre organisation ou votre communauté mûrit. Cet état d’esprit maintiendra ce sentiment sain de paranoïa et établira et maintiendra les protocoles qui le soutiennent.
A propos de l’auteur
John Shutt est ingénieur en contrats intelligents chez UMA et co-fondateur du protocole Across, un pont inter-chaînes sécurisé et décentralisé. Il travaille sur les systèmes de crypto-monnaie et de messagerie cryptée depuis plus d’une décennie.
Vous avez quelque chose à dire sur les hacks de bridge ou autre chose ? Écrivez-nous ou rejoignez la discussion sur notre chaîne Telegram. Vous pouvez également nous retrouver sur Tik Tok, Facebook ou Twitter.
Avertissement
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations trouvées sur notre site Web est strictement à ses risques et périls.
