Découvrez FumbleChain, la blockchain délibérément défectueuse

FumbleChain fait du piratage des blockchains un sport.

Manifesté pour la première fois jeudi dernier à laÉvénement Black Hat infosec, la Technologies délibérément défectueuse est censée servir d'outil pédagogique pour les développeurs de Crypto .

« En gros, c'est ce que les gens appellent CTF, ou « capture du drapeau », explique Nils Amiet, ingénieur en sécurité senior chezKudelski et ONEun des développeurs du projet. « À chaque fois que vous résolvez un défi, vous obtenez le drapeau. … Les défis sont assez techniques. »

À travers ces défis organisés et ludiques, l’objectif est d’enseigner aux utilisateurs les complexités de la Technologies blockchain.

Selon Dan Guido, cofondateur et PDG de la société de cybersécurité Trail of Bits, qui a audité plus de 20 projets de Cryptomonnaie différents, FumbleChain est similaire au jeux de guerreutilisé dans le développement de logiciels traditionnels.

« Les compétitions et les exercices d'entraînement sont utilisés dans tout le secteur de la sécurité, parfois lors de compétitions en direct réunissant 30 000 joueurs ou plus ONE , pour contribuer à éduquer et à démontrer les connaissances acquises par les participants », a déclaré Guido, ajoutant :

« Il est grand temps que la sécurité de la blockchain ait son propre jeu de guerre. »

Les utilisateurs collectent des points de jeu, appelés « fumblecoins », chaque fois qu'ils exploitent une vulnérabilité de la blockchain FumbleChain et capturent un drapeau. (Ces pièces n'ont de valeur qu'au sein du jeu lui-même.) Amiet de Kudelski explique que la Technologies de CORE de FumbleChain « LOOKS beaucoup au Bitcoin», mais en plus simple.

Daryl Hok, directeur de l'exploitation de la société de cybersécurité blockchain CertiK, a déclaré que FumbleChain est conçu pour rendre la blockchain « accessible » aux ingénieurs issus d'horizons divers.

« [FumbleChain] propose un modèle de wargame ludique susceptible d'intéresser un large public par son accessibilité et ses avantages », a déclaré Hok. « Le projet se concentre actuellement sur les attaques au niveau du code source, plutôt que sur les attaques à visée économique, mais cela pourrait être ajouté ultérieurement. »

En effet, Nathan Hamiel, responsable de la recherche en cybersécurité chez Kudelski, espère que FumbleChain prendra vie maintenant que le code est open source.sur GitHub.

« Beaucoup de projets comme celui-ci ont tendance à s'essouffler au fur et à mesure que les gens se tournent vers d'autres projets », a déclaré Hamiel. « Je pense que la seule façon de réussir un projet comme celui-ci est de le rendre open source. … Nous espérons que les gens continueront non seulement à l'utiliser, mais aussi à développer de nouveaux défis et à s'impliquer pleinement dans le projet. »

Les leçons de la bataille

FumbleChain est né après que Kudelski a réalisé un certain nombre d'audits de sécurité pour des projets de Cryptomonnaie , y compris des pièces de Politique de confidentialité. Monero et Zcash, a déclaré Hamiel.

Le premier défi sur FumbleChain simule ce que l'on appelle une attaque par rejeu, où des transactions dupliquées sont générées sur deux chaînes distinctes. Ce vecteur d'attaque était une préoccupation en 2017 lors de la scission de la chaîne entre Bitcoin et Bitcoin Cash.

D'autres vecteurs d'attaque de blockchain identifiés sur FumbleChain incluent la validation des entrées de transaction, l'incompatibilité de la clé publique et de l'adresse du portefeuille, ainsi que les attaques par déni de service ou de « spam ».

S'exprimant sur ces vulnérabilités du réseau, Hamiel a déclaré :

L'écosystème blockchain présente de nombreuses vulnérabilités similaires à celles d'un écosystème [logiciel] traditionnel. À petite échelle, une blockchain n'est pas très utile sans l'écosystème qui l'entoure : plateformes d'échange, portefeuilles, ETC

En tant que tel, FumbleChain propose également un portefeuille Web basé sur un navigateur et un explorateur de blockchain avec lesquels jouer.

Développer davantage FumbleChain pour inclure à la fois des défis liés aux contrats intelligents et des leçons surPolitique de confidentialité de la blockchainsont les prochaines étapes que Hamiel et Amiet espèrent voir dans les mois à venir.

À tout le moins, affirme Marc Laliberte, analyste principal en sécurité chez WatchGuard Technologies, FumbleChain pourrait avoir un impact sur les applications blockchain existantes en créant des opportunités d'apprentissage « pratique ».

Laliberté a dit :

« S'entraîner à identifier et exploiter les vulnérabilités courantes est un excellent moyen d' Guides à ne pas reproduire les mêmes erreurs. FumbleChain offre aux développeurs et aux passionnés l'opportunité de Guides les failles courantes et de les exploiter dans un écosystème sécurisé, puis d'appliquer ces connaissances à leurs propres applications. »

Image FumbleChain via Kudelski Security