Le piratage de POLY et les problèmes de confiance dans les cryptomonnaies

Et maintenant, les amis, il est temps de dire : « À qui faites-vous confiance ? » « Héhé, héhé, héhé, héhé ! » « À qui faites-vous confiance ? » « Moi, je distribue de l'argent gratuitement. » « Et où est Batman ? Il est chez lui, en train de laver ses collants ! » – Le Joker (Batman 1989)

Quand lePOLY Network a été piraté L'attaque, qui a visé en début de semaine dernière des cryptomonnaies d'une valeur d'environ 600 millions de dollars, s'est surtout distinguée par son ampleur. Il s'agit du plus grand piratage de Crypto jamais réalisé, même si celui-ci est légèrement inférieur à celui de 2018. Piratage de Coincheck à hauteur de 500 millions de dollars. À 50 000 pieds d'altitude, cela semblait être la progression logique d'une série de piratages remontant à l'exploit qui aurait fait tomber le mont Gox vers 2013, lui-même valantenviron 473 millions de dollarsen 2014BTCprix.

En bref, malgré sa taille, le hack POLY n’était tout simplement T si intéressant.

Puis les choses sont devenues bizarres.

David Z. Morris est le chroniqueur en chef des analyses de CoinDesk.

Le pirate aurait entamé des négociations avec plusieurs parties, dont POLY, des mineurs, la société de sécurité Slowmist et l'émetteur de stablecoins Tether. La nature de ces négociations n'est T encore tout à fait claire, mais nous savons au moins deux choses : POLY avait offert au pirate une prime de 500 000 $ pour restituer les fonds volés, et Slowmist affirme avoir identifié l'adresse IP et l'adresse e-mail du pirate (bien que ce dernier ait été informé). a nié avoir été compromis).

Une troisième hypothèse forte est que le pirate commençait à réaliser qu'il aurait beaucoup de mal à liquider quelque chose de proche de 600 millions de dollars en jetons (nous ne connaissons T le sexe du pirate, mais j'utiliserai « il » tout au long de l'article pour plus de simplicité, et parce qu'il y a de fortes chances que ce soit exact). Le PDG de Binance, Changpeng Zhao, a promis que sa plateforme d'échange « geler » tous les fonds piratés envoyé sur sa plateforme, tandis que Tether a effectivement pris la mesure de geler environ 33 millions de dollars de ses USDTstablecoin pris dans le piratage.

Il y a peut-être eu d'autres facteurs, mais ceux-ci à eux seuls ont probablement suffi à déclencher ce qui s'est passé ensuite : le pirate informatiquerendu l'argent. Le jeudi 12 août, le pirate avait placé la quasi-totalité des fonds piratés (moins les liens gelés) dansun portefeuille multi-signatures partagé avec l'équipe POLY .

En d'autres termes, c'est le chien proverbial qui a attrapé une voiture. Après avoir réalisé le plus grand braquage de Crypto de tous les temps, le pirate ne savait T quoi faire de son butin.

Tour de visage

Maintenant, avec l'aide du POLY Network lui-même, le pirate informatique tente de créer ce que l'on appelle dans le catch professionnel un « tourner le visage »:une transition soudaine du méchant au héros.

Le matin du 16 août, le pirate a publié un message via unadresse Ethereum vérifiéey compris les éléments suivants :

L' POLY NE SIGNIFIE PAS GRAND POUR MOI. CERTAINS SONT PAYÉS POUR PIRATER, JE PRÉFÈRE PAYER POUR LE PLAISIR. J'ENVISAGE DE PRENDRE LA PRIME POUR LES PIRATES PUBLICS S'ILS PARVIENNENT À PIRATER LE RÉSEAU POLY ... SI LES POLY T LA PRIME IMAGINAIRE, COMME TOUT LE MONDE L'ATTEND, J'AI BIEN SUFFISAMMENT DE BUDGET POUR QUE LE SPECTACLE CONTINUE.

« J'AI CONFIANCE À UNE PARTIE DE LEUR CODE, JE FAIS L'ÉLOGE DE LA CONCEPTION GLOBALE DU PROJET, MAIS JE NE FAIS JAMAIS CONFIANCE À TOUTE L'ÉQUIPE POLY . »

En d'autres termes (pour clarifier la note apparemment traduite automatiquement), le plus grand hacker Crypto de tous les temps affirme avoir agi ainsi pour le fun. Mais, s'appuyant également sur des déclarations réalisé le 11 aoûtIl prétend être un hacker innocent qui cherche simplement à mettre en évidence un défaut de conception plutôt qu'à voler de l'argent. Il affirme avoir « toujours eu l'intention » de restituer les fonds – et il est maintenant prêt à utiliser son propre argent pour verser de nouvelles « primes » aux hackers qui aident à trouver et à corriger des failles dans POLY. C'est un véritable bon Samaritain !

Le réseau POLY a grandement contribué à ce changement de visage en donnant au pirate un surnom très flatteur tout en cherchant à obtenir la restitution des fonds volés : M. White Hat.

« White Hat » fait bien sûr référence à un hacker « white hat ». En principe, un hacker « white hat » ne teste les vulnérabilités logicielles que pour tenter de les corriger, et non pour les exploiter à des fins lucratives. Un « black hat », en revanche, pirate à des fins lucratives ou malveillantes.

Les motivations de POLY Network pour qualifier préventivement le pirate de « white hat » sont assez claires : cela lui permet de restituer les fonds et, peut-être, de sauver sa réputation. Pour POLY, la restitution des fonds est la seule priorité, et cette stratégie est brillante : après tout, on attrape plus de mouches avec du miel qu'avec du vinaigre.

Mais hormis le surnom amical de Poly et ses propres déclarations, il existe très peu de preuves tangibles que les intentions initiales du pirate étaient bonnes. Parmi les preuves contradictoires, on ne comprend pas pourquoi il aurait transféré 600 millions de dollars alors que l'exploit aurait pu être démontré par un piratage beaucoup plus modeste.

Hubba Hubba Hubba, à qui fais-tu confiance ?

Cette situation met en lumière une tension qui s'est accrue parallèlement à l'écosystème des Cryptomonnaie . L'absence de confiance est un principe CORE des Crypto, tant sur le plan technologique que philosophique. En gros, cela signifie que l'on peut faire confiance à des systèmes blockchain stables et sécurisés, plutôt qu'à des humains faillibles et égoïstes.

Mais avec la complexité croissante, la concurrence et les enjeux, la confiance envers les humains derrière les Crypto s'est accrue. Tout comme les conséquences d'une perte de confiance. Cela s'applique particulièrement aux utilisateurs du réseau POLY , qui lui ont confié leurs fonds : les différents jetons volés avaient été confiés au protocole, qui agit comme dépositaire dans le cadre de sa fonctionnalité inter-chaînes.

Mais ce piratage met en évidence le fait qu'ils ne faisaient T vraiment confiance au système, mais plutôt aux concepteurs et aux codeurs du réseau. Cette confiance a été ébranlée par les failles apparentes de leur code. POLY n'est pas le seul dans ce cas, et de loin : comme mentionné précédemment, les piratages et les exploits sont devenus fréquents, en particulier dans les systèmes Finance décentralisés (DeFi), dont la complexité les rend intrinsèquement plus vulnérables qu'un système plus simple comme Bitcoin.

Sur le même sujet : Un braquage de 600 millions de dollars montre que la DeFi a besoin de hackers pour devenir inviolable | Dan Kuhn

Comme l'a soutenu Daniel Kuhn de CoinDesk, ces piratages peuvent être considérés comme faisant partie du processus de création de cessystèmes plus sécurisésLe pirate, que ce soit son intention initiale ou non, a rendu POLY plus fort.

Néanmoins, ces piratages mettent en évidence une vérité inconfortable : dans la DeFi, la réputation dules personnes qui construisent les systèmes Le piratage de POLY illustre précisément ONEune des raisons pour lesquelles ce problème se pose. POLY est un projet en partie soutenu par l'équipe à l'origine de NEO, une blockchain fondée en Chine en 2014. Pour qu'une personne aux États-Unis ou en Europe leur fasse confiance, il faut franchir les barrières linguistiques, géographiques et politiques que la Crypto était censée abolir.

Au contraire, cet écart a nourri des théories conspirationnistes sur les motivations de Poly. Ce matin, POLY a annoncé qu'il offrirait à M. White Hat un rôle de conseiller en chef à la sécuritéIl s'agit probablement d'une stratégie de dissimulation du réseau pour rester dans les bonnes grâces du pirate. Mais cela a également suscité des spéculations selon lesquelles le piratage lui-même était une opération interne destinée àun coup marketing.

Un autre aspect majeur du manque de confiance dans la Crypto est finalitéDans son livre blanc de 2008 décrivant Bitcoin, Satoshi Nakamoto écrit que les transactions « totalement irréversibles » sont une caractéristique, et non un bug, du système : « Avec la possibilité d’inversion, le besoin de confiance se répand. » En fin de compte, c’est parce que la réversibilité nécessite un arbitre – un « tiers » redouté ayant le pouvoir de décider qui a raison, puis d’arrêter ou de renvoyer les transactions. Mais l’élimination des intermédiaires tiers est tout l’intérêt des Cryptomonnaie, la caractéristique qui les rend uniques parmi les outils de paiement numérique (et, du moins à l’époque moderne, parmi les monnaies dans leur ensemble).

Ce dont je parle ici, bien sûr, c'est de Tether. Ce stablecoin est un pilier majeur de l'écosystème des Cryptomonnaie , avec une capitalisation boursière de 63 milliards de dollars et un rôle clé dans faciliter les échangesLa plupart des utilisateurs considèrent probablement Tether comme une «Cryptomonnaie» à peu près similaire au Bitcoin, mais sa réponse au piratage dément cette affirmation.

En gelant 33 millions de dollars impliqués dans le piratage, l'entreprise derrière Tether a démontré qu'elle était un « intermédiaire de confiance ». Tout comme une banque (ce qu'elle est effectivement, dans de nombreux sens), Tether a démontré sa capacité à geler à tout moment les fonds circulant sur le réseau. En l'utilisant, vous faites confiance à ses administrateurs centraux pour ne pas geler. ton fonds. (Il en va de même, pour être clair, pour le concurrent de Tether USDC, bien que Circle, la société derrière USDC, ait choisi de ne pas intervenir dans l'affaire actuelle.)

Et donc, aussi sinistre que cela puisse paraître, il est incontestable que les systèmes Crypto suscitent désormais de plus en plus le même dilemme philosophique intemporel auquel nous sommes confrontés lorsque nous traitons avec le système financier traditionnel :

Hubba hubba hubba, à qui fais-tu confiance ?