Appeler un piratage un exploit minimise l'erreur Human

Hier, à partir de 18h24 UTC, quelqu'un ou quelque chose a exploité une vulnérabilité de sécurité sur Wormhole, un outil qui permet aux utilisateurs d'échanger des actifs entre Ethereum et un certain nombre de blockchains, entraînant la perte de 120 000 ethers enveloppés (ou wETH, d'une valeur d'environ 321 millions de dollars) sur la plateforme.

Il s'agit de la deuxième plus grande attaque de Finance décentralisée (DeFi) à ce jour, selon classement de rekt, dans un secteur où les failles de sécurité sont assez courantes et font partie intégrante de la courbe de risque des utilisateurs. Il existe tout un business basé sur les revues de code, un lexique de jargon spécifique au secteur pour expliquer ce qui se passe et une sorte de guide à Réseaux sociaux si des « piratages » surviennent inévitablement.

Cet article est extrait de The Node, le résumé quotidien de CoinDesk des sujets les plus importants de l'actualité blockchain et Crypto . Abonnez-vous pour recevoir l'intégralité de l'article. newsletter ici.

Wormhole, en plus d'avoir détecté et corrigé ce bug plus tôt, a apparemment essayé de faire ce qu'il fallait : ils ont fermé la plateforme pour éviter de nouvelles pertes, ont informé le public de ce qu'ils savaient et ont annoncé que Jump Trading était en ligne pourreconstituer les pièces volées.

Sur le même sujet : Le trou de ver du pont blockchain est victime d'une exploitation potentiellement dévastatrice de plus de 326 millions de dollars.

De plus, dans un geste de plus en plus courant, le Wormhole Deployer a publié un message ouvert à l'exploitant sur Ethereum lui offrant un « accord white hat » et 10 millions de dollars pour une explication de l'attaque en échange des fonds volés.

Pardonnez la comparaison, mais c'est comme attendre qu'un magicien sorte un lapin d'un chapeau haut-de-forme. Le monde attend de voir s'il a affaire à un hacker « blanc » ou « noir », termes censés expliquer les motivations d'un hacker. La réalité est probablement un peu plus floue.

Hacks vs exploits

« Les pirates informatiques black hat sont des criminels qui s'introduisent dans les réseaux informatiques avec des intentions malveillantes », selon les experts en sécurité de Kaspersky. Ils peuvent utiliser des logiciels malveillants, voler des mots de passe ou exploiter le code tel qu'il est écrit pour des raisons « égoïstes » ou peut-être « idéologiques ». Les pirates informatiques white hat, aussi appelés « hackers éthiques » ou « hackers avisés », sont l'antithèse. « Ils exploitent les systèmes ou les réseaux informatiques pour identifier leurs failles de sécurité et formuler des recommandations d'amélioration », écrit Kaspersky.

En raison de la conception des réseaux Crypto , il est souvent difficile de savoir à qui l'on a affaire. Les utilisateurs se présentent sous la forme de longues chaînes de caractères alphanumériques, et leur passé se résume à une série de transactions liées à leur adresse.

Ce système présente certains avantages. Même si les plateformes ne « connaissent »T leurs « clients », toutes les transactions sont enregistrées on-chain et chacun peut « vérifier » à qui appartiennent les cryptomonnaies. Les exploits de la DeFi sont souvent des impasses : les plateformes d'échange, utilisées comme portes d'entrée et de sortie de la Crypto , peuvent mettre sur liste noire les fonds volés, réduisant ainsi à néant l'utilité et la valeur de ces jetons.

Cela pourrait expliquer pourquoi certains des exploits les plus marquants voient leurs cerveaux restituer leurs primes. Par exemple, en août dernier,« pirate informatique » de POLY Network comme on les a appelés, ils ont restitué la quasi-totalité des 610 millions de dollars d'actifs Crypto volés et ont demandé aux gens de considérer leur exploit comme un « piratage en chapeau blanc », destiné à attirer l'attention sur un bug désastreux.

Il s'agit peut-être d'une réécriture de l'histoire – une explication a posteriori d'une attaque finalement mal exécutée ? Cela pourrait se reproduire : nous T les motivations de l'exploiteur de Wormhole, mais l'équipe du pont semble exiger qu'ils ingèrent le bug en échange de la coquette somme de 10 millions de dollars.

En un sens, le système est configuré en faveur d'un attaquant. Lorsqu'un attaquant utilise le code tel qu'il est écrit, mais pas comme prévu, les experts en technologie parlent d'« exploit ». Le code est prioritaire sur l'action Human , de sorte que les erreurs Human – comme l'utilisation abusive d'une transaction erronée ou le fait de manquer une faille de sécurité – sont considérées comme un processus naturel du code.

Une attaque n'est qualifiée de « piratage » que lorsque le code est réécrit ou corrompu. Il s'agit d'une distinction technologique importante, même si ces termes proviennent probablement de l'industrie du jeu vidéo, où le « piratage » d'un jeu pour obtenir un avantage déloyal est souvent mal vu, tandis que les « exploits », ou la découverte de failles dans le jeu, sont vantés.

On peut sans doute affirmer que cette attaque récente ne faisait T partie des plans ni des motivations du déployeur de trous de ver. Une erreur de code semble avoir été commise, ou non trouvée, et des solutions sont en cours d'élaboration. Cela pourrait mettre en évidence les « limites fondamentales de sécurité des ponts », comme l'a souligné Vitalik Buterin, co-créateur Ethereum , dans un article de blog prémonitoire publié il y a quelques semaines.

L'attaquant a effectué une série de transactions de sorte que le « contrat intelligent » de Wormhole a confondu le wETH faussement émis avec le vrai contenu – unventilation complète iciC’était une faille que quelqu’un avec des connaissances approfondies et beaucoup de temps a pu exploiter.

Certains considéreront cette attaque comme une contribution à l'ensemble des connaissances sur les Crypto. Certains ont même affirmé que ce processus pourrait, à terme, mener à « code inviolable »car chaque contrat intelligent est une « prime de bug d’un million de dollars » potentielle.

Il convient donc de se demander si le langage utilisé par les Crypto pour expliquer leurs innombrables vulnérabilités (risques cumulés) contribue au business florissant des piratages informatiques. Ou si nous tirons parfois des définitions de chapeaux.