Ce professionnel de la cybersécurité est payé pour pirater Ethereum – pour le bien du réseau

Une journée typique pour David Theodore, chercheur en sécurité à la Fondation Ethereum , commence souvent par vérifier s'il y a eu des plantages sur Ethereum, la plus grande blockchain de contrats intelligents au monde.

Après cela, lui et ses collègues ont essayé de le casser eux-mêmes.

« Notre objectif est de casser des choses, espérons-le, avant que quelqu'un d'autre ne les casse, afin qu'il n'y ait plus rien à casser », a déclaré Theodore à CoinDesk dans une interview.

Cet article est présenté dans le dernier numéro deLe Protocole, notre newsletter hebdomadaire explorant la technologie derrière la Crypto, un bloc à la fois. Inscrivez-vous icipour le recevoir dans votre boîte mail chaque mercredi.

Théodore, 33 ans, fait ONE de la dizaine d'ingénieurs informaticiens et de professionnels de la cybersécurité de l'équipe de recherche en sécurité de la Fondation Ethereum , selon une présentation de juin. Ils se présentent comme les principaux responsables – et gardiens – de ce réseau en pleine expansion, considéré par certains experts de la blockchain comme le fondement d'un futur système financier mondial, numérique et décentralisé.

La Fondation Ethereum , créée par le célèbre fondateur de la blockchain, Vitalik Buterin, pour soutenir le développement du réseau, emploie environ 150 personnes, selon la présentation. Ses principales activités sont les mises à jour constantes de la programmation, les initiatives de croissance, le parrainage de conférences de développeurs et l'octroi de subventions.

Cette équipe de chercheurs en sécurité ne représente donc qu'une infime partie des activités globales de la fondation. Mais dans une industrie des Crypto réputée pour développer de nouveaux protocoles et applications qui se révèlent ensuite vulnérables à des exploits coûteux, le rôle de l'équipe est crucial : les pirates informatiques sont constamment à la recherche de nouveaux points d'attaque, et une seule erreur peut porter un coup dévastateur à la réputation d'une blockchain comme plateforme de transactions sécurisée.

« Toujours flou »

Les membres de l’équipe proviennent d’horizons et de spécialisations très divers – beaucoup d’entre eux sont titulaires d’un diplôme en informatique, mais possèdent une expérience dans la réponse aux exploits, l’attaque de systèmes distribués et l’application de la cryptographie.

ONEune des techniques que l’équipe de sécurité déploie pour protéger la blockchain est «peluche”, un terme emprunté à l’industrie du développement de logiciels qui est devenu un moyen courant de vérifier qu’un système est sécurisé et résilient.

Dans le contexte du travail sur Ethereum, les membres de l'équipe de sécurité introduisent des entrées invalides dans les nœuds du réseau afin de révéler des bugs ou des vulnérabilités dans le logiciel. L'objectif du fuzzing est de détecter d'éventuelles réactions négatives au système.

« On est toujours en train de faire des erreurs. Nos superordinateurs sont en train de faire des erreurs en permanence », a déclaré Theodore à CoinDesk. « Ils font des erreurs partout, pendant que vous travaillez, pendant que vous dormez. »

La vie d'un chercheur en sécurité Ethereum

Dans la Crypto 24h/24 et 7j/7, une journée dans la vie de Théodore LOOKS toujours un BIT différente.

« Si vous voyez des paniques ou des erreurs de quelque nature que ce soit, tout ce qui LOOKS à des échecs », dit-il, « vous allez les examiner et vous vous demandez : « Est-ce un problème à cause de mon fuzzer ou est-ce un problème qu'un attaquant pourrait créer le même problème ? »

Basé à Austin, au Texas, Theodore emmène parfois son bureau sur la route – dans un véhicule récréatif Airstream avec un bureau dédié qui lui permet de KEEP à travailler même lorsqu'il est garé dans des endroits éloignés.

Ce bureau mobile peut accueillir deux grands écrans et est connecté au monde extérieur via le service Internet par satellite Starlink d' ELON Musk. L'espace est suffisamment grand pour accueillir confortablement deux personnes et un chien, explique Theodore.

Fin 2022, l'Airstream lui servait de base, garée à Granby, dans le Colorado, à l'ombre du parc national des montagnes Rocheuses, alors que les développeurs Ethereum se dirigeaient vers une étape importante connue sous le nom de «Fusionner« – lorsque le projet est passé à une approche plus économe en énergie »preuve d'enjeu« réseau du »preuve de travail" système utilisé par Bitcoin, la blockchain originale.

« Nous étions là-bas un mois avant la Fusion », se souvient Theodore. C'était un endroit pratique, car il pouvait facilement se rendre à Boulder, dans le Colorado, pour rencontrer d'autres membres de l'équipe de la Fondation Ethereum et assister à cet événement historique.

Theodore a étudié le génie électrique à l'Université du Texas à Arlington, mais après l'obtention de son diplôme, il s'est orienté vers une carrière dans la cybersécurité. Il a débuté sa carrière au sein de l'unité de cybersécurité offensive de Raytheon, avant de rejoindre la société d'analyse forensique de données SkySafe, puis le géant technologique Google en 2020.

Il a rejoint la Fondation Ethereum en 2021 après avoir appris que l'organisation formait une équipe de sécurité. Initialement, son rôle consistait à étudier comment protéger la blockchain lors de la transition vers la preuve d'enjeu.

Depuis lors, le travail a évolué vers un mandat plus large de maintien de l’intégrité du réseau.

« Ils souhaitaient constituer une équipe spécialisée dans ce domaine, notamment pour comprendre comment les États financent ces cyberopérations et comment ils les mettent en œuvre », a déclaré Theodore à CoinDesk. La fondation a recruté des membres capables d'appliquer cette méthodologie, de garder une longueur d'avance et de contribuer à la solidité Ethereum .

En juin, Theodore a fait une présentation sur l'équipe de recherche en sécurité de la Fondation Ethereum à un groupe de développeurs de Crypto d'Austin, énumérant les responsabilités, notamment « la sécurité générale des hardforks », « la santé de la beaconchain », les programmes de primes aux bugs, la « coordination de la sécurité des clients » et la « défense de la diversité des clients ».

« Notre équipe a détecté des bugs dans chaque client CL et EL, et plus encore », selon ONEune des diapositives de la présentation. « CL » désigne la couche de consensus d'Ethereum, où les validateurs de la blockchain sont hébergés et vérifiés, et « EL » désigne la couche d'exécution de la blockchain, où les transactions sont finalisées et l'état de la blockchain enregistré et géré.

Son travail est assez atypique par rapport à celui d’autres responsables de la cybersécurité, dit-il, en partie parce que l’organisation adhère à une structure de gestion plus horizontale, et aussi parce que le travail peut être effectué pratiquement n’importe où.

Ethereum, réputé pour ses « contrats intelligents » qui permettent la programmabilité et l'hébergement d'applications décentralisées, s'est rapidement développé, en particulier maintenant qu'il sert de centre de confirmation et de règlement - la « couche 1 » ou « L1 » - pour un ensemble de blockchains de « couche 2 » qui fonctionnent au-dessus, comme ARBITRUM, Optimism et la nouvelle blockchain Base de l'échange Crypto Coinbase.

Et à mesure que la valeur du réseau augmente, Theodore estime que le mandat de sécurité de l’équipe gagnera en importance.

La capitalisation boursière totale des jetons ether natifs d'Ethereum (ETH) s'élève actuellement à environ 212 milliards de dollars.

« Je pense que nous sommes essentiels », a déclaré Théodore. « Le plus synonyme de sécurité, en termes d'espace de bloc, c'est l' Ethereum L1. »