Pourquoi les hackers White Hat sont essentiels à l'écosystème Crypto

Le week-end dernier à ETHDenver,Jay Freemanest monté sur scène pour souligner son presqueÀ découvrir d'un bug d'un milliard de dollars au sein du code de CORE de Optimism, BOBA et METIS, qu'il a surnommé « Optimism débridé ».

Freeman possède une solide expérience en développement logiciel et en piratage informatique, jouant notamment un rôle crucial dans le développement de logiciels de jailbreaking iOS. Son expérience s'est avérée précieuse au sein du secteur Crypto open source du Far West. Il y a deux semaines à peine, une vulnérabilité de contrat intelligent a laissé la machine hors service. Pont de trou de ver avec un trou de 350 millions de dollars à réparer – et ce n'était même T le le plus grand exploit de l'histoire récente. Cependant, Freeman a mentionné que les exploits de pont sont souvent découverts rapidement car ils sont utilisés souvent et surveillés en permanence par les équipes chargées de leur maintenance.

Sur le même sujet : Jump Trading compense la perte de 320 millions de dollars de Wormhole due à un exploit

Au cours de la première semaine de février, Freeman a découvert un bug critique dans la machine virtuelle d'Optimism, un ONE que les développeurs n'étaient peut-être pas prêts à corriger aussi rapidement. Ce bug provenait de la machine virtuelle d'Optimism. autodestructionfonction qui permet de détruire les contrats et d'envoyer tout solde d'éther restant à une adresse désignée.

Cela semble dangereux, alors pourquoi les blockchains contiennent-elles leautodestructionFonction ? Cette fonction permet de supprimer les contrats obsolètes ou dangereux de la chaîne tout en restituant le solde d'éther à son propriétaire légitime.

À moins qu'il y ait un bug, bien sûr.

L'optimismeautodestructionLa fonction a renvoyé le solde d'Ether à l'adresse désignée sans jamais détruire le solde d'un contrat. Selon Freeman, « Cela signifie que, lorsqu'un contrat s'autodétruit, son solde est à la fois transmis au bénéficiaire et conservé. » Si les attaquants parvenaient à invoquer le contrat, ils pourraient créer une boucle doublant leur solde d'Ether jusqu'à ce que les développeurs Optimism le remarquent et le corrigent.

Freeman a noté qu'il n'était pas la première personne à trouver le bug après avoir analysé les précédentsautodestruction Il a fait appel à Optimism et a retracé un portefeuille jusqu'à un employé d'Etherscan. Cet employé avait découvert et testé le bug, mais n'avait apparemment T compris la gravité de la situation et l'avait laissé faire. La vulnérabilité s'est aggravée au fil du temps, à mesure que des fonds supplémentaires étaient transférés vers Optimism et que d'autres systèmes de couche 2 copiaient le code mis en place par Optimism . Les couches 2 sont des réseaux compagnons connectés, mais fonctionnellement distincts de la couche de base.

Par conséquent, Freeman a noté que s'il n'avait pas trouvé le bug, une vulnérabilité de frappe aurait permis à un attaquant de doubler ses fonds à chaque fois que leautodestructionla fonction a également été appelée sur BOBA et METIS .

White Hats et DeFi

Même si l'équipe Optimism avait remarqué et suspendu temporairement les transactions de pont via le séquenceur <a href="https://community.optimism.io/docs/protocol/sequencing/">Optimism</a> lors d'une attaque théorique, un attaquant aurait pu tout de même semer le chaos dans la Finance décentralisée de couche 2 (DeFi). En utilisant l'OETH falsifié, n'importe quel attaquant aurait pu drainer les plateformes d'échange décentralisées et exploiter les plateformes de prêt avec des garanties inutiles. L'exploit aurait probablement causé des dommages irréparables au sein de l'écosystème Ethereum et les utilisateurs de couche 2 auraient pu voir tous leurs fonds rendus inutiles, sans aucun actif restant à l'autre bout du pont. Ensemble, Optimism, BOBA et METIS disposaient d'environ 750 millions de dollars bloqués dans la DeFi le jour où la vulnérabilité a été signalée, dont la quasi-totalité était menacée.

La nécessité d'un affrontement amical

La Finance décentralisée demeure un secteur vulnérable, avec des fondateurs anonymes, du code open source et des milliards de dollars prêts à prendre des risques. Cet énorme volume de capitaux a créé un système d'incitations axé sur les équipes qui développent rapidement et émettent des jetons.

Sur le même sujet : Le problème d'anonymat de Wonderland (et de la DeFi)

À l'inverse, la prudence et le professionnalisme sont beaucoup moins enthousiasmants pour les traders et les investisseurs. L'économie mondiale a constaté à maintes reprises les effets d'une prise de risque incessante, même si le marché finit par sanctionner les raccourcis. Il n'y a aucune raison de penser que ce même scénario ne se reproduira T dans le Crypto et de la Finance décentralisée, où seuls les protocoles les plus méticuleux en sortiront vivants.

Freeman s'est également interrogé sur le juste milieu entre « le code fait loi » et la confiance des tiers. Il a souligné que les primes aux bugs sont essentielles pour inciter les acteurs compétents à rechercher et à identifier les vulnérabilités. En fixant la récompense pour un bon acteur au même niveau que celle pour un mauvais acteur, cette échelle fait soudainement pencher la balance en faveur du white hat.

Comme l’a dit Freedman, ce type d’« antagonisme amical » peut encourager les participants de l’écosystème à être plus ouverts, honnêtes et même pessimistes à l’égard des nouvelles idées.

Ce pessimisme est essentiel. Aujourd'hui, le contexte est peut-être trop optimiste, suscitant l'enthousiasme des investisseurs et des utilisateurs de la DeFi pour des protocoles qui pourraient ne jamais fonctionner, voire être dangereux. Ce manque de surveillance, combiné à la nature même du code open source, crée un environnement idéal pour les pirates et les escrocs, un problème que l'industrie des Crypto ne semble pas prête à admettre.