Les failles de sécurité des ponts ont coûté 2 milliards de dollars en 2022. Voici comment elles auraient pu être évitées.

Dans l'évolution vers un avenir multi-chaînes, les ponts restent plus vulnérables aux piratages que les réseaux de Cryptomonnaie eux-mêmes. Rien qu'en 2022, plus de 2 milliards de dollars d'actifsa été volé suite à des exploits de ponts de jetons. Le pire, c'est que ces failles auraient pu être évitées en appliquant plusieurs mesures de sécurité.

En examinant certaines des attaques de 2022, nous pouvons mieux comprendre certaines des principales failles du système et les mesures de sécurité individuelles qui existent ou sont en cours de développement pour s’en protéger.

Ingénierie sociale

Les attaques d'ingénierie sociale constituent la forme la plus courante de failles de sécurité. Chacun a été victime d'une attaque d'ingénierie sociale à un moment ou un autre de sa vie, que ce soit par hameçonnage ou par pièges à miel, où des offres « trop belles pour être vraies » sont proposées en échange d'informations personnelles.

Martin Köppelmann est co-fondateur de Gnosis.

Les pirates informatiques responsables de la plus grande faille de sécurité de 2022 ont eu recours à des méthodes similaires pour détourner des fonds. La blockchain du célèbre jeu Crypto Axie Infinity a été piraté avec un stratagème de phishingqui impliquait de fausses offres d'emploi sur LinkedIn.

Sky Mavis, le développeur du jeu, a déclaré que ses employés avaient été la cible de fausses offres d'emploi et avaient même été convoqués à plusieurs entretiens d'embauche. Lorsque les employés ont mordu à l'hameçon, des pirates ont accédé à leurs systèmes et ont dérobé 625 millions de dollars du réseau Ronin de Sky Mavis. Lors d'une analyse rétrospective des circonstances, Sky Mavis a déclaré avoir été victime d'attaques de spear-phishing sophistiquées.

Clés privées compromises

En septembre 2022, Wintermute, un Maker de marché algorithmique, a été piraté pour 160 millions de dollars, probablement en raison d'une faiblesse des clés privées générées par l'application Profanity.

La clé privée du portefeuille HOT a été exploitée et utilisée pour drainer les fonds. Selon les rapports Des failles avaient déjà été détectées dans les adresses de Profanity, mais l'entreprise n'a T pris ces rapports au sérieux.

Une raison similaire a été rapportée derrière le piratage de Slope, entraînant une perte de 6 millions de dollars pour l'entreprise.

Bugs des contrats intelligents

Les contrats intelligents sont des programmes stockés dans une blockchain et configurés pour se déclencher lorsque certaines conditions prédéterminées sont remplies. Dans le e-commerce, par exemple, ils confirment à un site web qu'un article sera livré une fois ajouté à votre panier et payé. Un bug dans un contrat intelligent peut ainsi permettre à des pirates de déclencher illégalement un transfert d'argent entre blockchains sans remplir aucune condition.

Dans le cas de Nomad, les pirates ont pu drainerprès de 200 millions de dollarsdepuis le pont en découvrant une mauvaise configuration dans le contrat intelligent principal qui permettait à toute personne ayant une compréhension de base du code de retirer des fonds.

Que ces bugs et failles de sécurité aient été exploités de manière aussi flagrante par des pirates informatiques est une pensée inquiétante, mais ce qui est encore plus troublant, c'est que les systèmes « fiables » que les gens n'avaient T pensé à utiliser étaient si facilement exploitables.

La solution : de multiples mesures de sécurité

Les normes de pont sont des ensembles de règles qui définissent la manière dont différents réseaux blockchain peuvent communiquer entre eux, dans ce cas, via un pont inter-chaînes. Si certains de ces protocoles, pris isolément, risquent d'être exploités, leur combinaison ajoute des couches de sécurité supplémentaires indispensables.

En utilisant simultanément plusieurs normes de pont, les développeurs peuvent compenser les faiblesses d' un protocole par l'utilisation d'un autre. Examinons quelques normes cryptographiques qui pourraient être utilisées conjointement pour renforcer la sécurité.

Multi-sig et comité

La Technologies multi-signatures requiert la signature ou l'approbation de plusieurs parties avant l'exécution d'une transaction. Elle permet d'empêcher tout accès non autorisé aux réseaux et de garantir qu'aucune partie n'exerce un contrôle total.

Une norme de pont de comité utilise un groupe d'entités de confiance, ou comité, pour gérer la sécurité d'un pont réseau. Les membres sont responsables de l'approbation et de la supervision des transactions réseau. Les comités sont utiles lorsque plusieurs organisations partagent l'accès à un réseau.

Connaissance zéro

Zero Knowledge (ZK) est une technique cryptographique qui permet à deux parties d'échanger des informations sans avoir à révéler d'informations supplémentaires au-delà de ce qui est absolument nécessaire.

L'intégration des modèles ZK élimine le recours au modèle de comité en permettant aux développeurs d'utiliser des clients légers on-chain. Grâce aux systèmes de preuve à connaissance nulle et notamment à la propriété « succinctness » d'un ZK-SNARK, il est possible d'effectuer efficacement ce processus de vérification à l'aide de clients légers on-chain. Il est également possible de vérifier les transitions d'état et le consensus on-chain pour une sécurité maximale, similaire à l'exécution d'un nœud complet.

Pour ce faire, le client léger on-chain utilise les systèmes ZKP pour prouver la validité de l'état de la chaîne source. Cela se fait en générant une preuve vérifiable par la chaîne cible sans avoir besoin de connaître l'intégralité de l'état de la chaîne source. L'utilisation de clients légers on-chain contribue à améliorer la sécurité et l'évolutivité des blockchains. En vérifiant l'état de la chaîne source sur la chaîne cible, cette dernière peut être plus sûre de l'exactitude de l'état de la chaîne source. Cela permet de prévenir la fraude et autres activités malveillantes tout en contribuant à la scalabilité du réseau. À titre d'exemple pratique, ZK peut être utilisé pour prouver qu'une transaction a été autorisée par le propriétaire d'un portefeuille spécifique sans révéler la clé privée.

Optimiste

Certains ponts adoptent une approche « optimiste » de la vérification des transactions. Plutôt que de vérifier immédiatement chaque transaction sur la blockchain cible, ils supposent que chaque transaction est valide et incitent ensuite d'autres participants à signaler les transactions frauduleuses en échange d'une récompense. Les fonds ne sont débloqués qu'après cette période de vérification. Cela signifie que les ponts optimistes sont théoriquement sûrs, mais pas mathématiquement sûrs : ils s'appuient sur des tiers pour surveiller ce qui se passe. Tout cela est souvent soustrait à l'utilisateur par des fournisseurs de liquidités supplémentaires qui vérifient indépendamment la véracité des déclarations du pont et mettent les fonds immédiatement à disposition sur l'autre chaîne moyennant des frais de quelques points de base.

Les passerelles optimistes peuvent néanmoins être relativement sécurisées, même si elles ne vérifient pas immédiatement chaque transaction. Cela s'explique par le recours à la méthode de « contestation et contestation » : si un utilisateur estime qu'une transaction a été traitée incorrectement, il peut la contester et la passerelle enquêtera.

Les défis de la mise en œuvre de normes de ponts multiples

En fin de compte, la meilleure sécurité est obtenue en utilisant uncombinaison de normesDe cette façon, si une implémentation de pont rencontre un bug ou une faiblesse de sécurité, les autres normes peuvent toujours protéger le réseau.

Il convient de noter que les ponts reposent toujours sur les mécanismes de consensus des réseaux connectés. Un pont ne peut jamais être plus sûr que les réseaux qu'il connecte.

Accéder en toute sécurité à un monde multi-chaînes

Les passerelles sont nécessaires pour offrir un accès sans entrave à notre monde multi-chaînes, mais nous devons les renforcer de manière inventive afin de réduire les points d'attaque. La Technologies blockchain est conçue sur mesure pour permettre à des inconnus de se réunir et de prendre des décisions directes et immuables. Plus nous exploiterons l'intégralité des réseaux à notre disposition, plus nos passerelles seront solides.