Un braquage de 600 POLY de dollars montre que la DeFi a besoin de pirates informatiques pour devenir inviolable.

L'auteur probable de ONEun des plus grands braquages ​​de Crypto l'a fait pour le « plaisir ». Mardi, un pirate informatique anonyme a volé environ 600 millions de dollars de Crypto à POLY Network, apparemment pour donner une leçon à la plateforme multi-chaînes (c'est ce qu'ils ont déclaré lors d'une séance de questions-réponses sur leurs motivations et leurs projets).

Ils ont identifié un bug – ou plutôt, une partie du code leur permettant de se transférer de l'argent – ​​et ont réagi. Les développeurs n'avaient T prévu d'intégrer un bouton « argent gratuit », mais celui-ci était là, prêt à être exploité. Et tant mieux : c'est une erreur de plus qui (espérons-le) T se reproduira plus.

Cet article est extrait de The Node, le résumé quotidien de CoinDesk des sujets les plus importants de l'actualité blockchain et Crypto . Abonnez-vous pour recevoir l'intégralité de l'article.newsletter ici.

« L'argent ne m'intéresse pas vraiment ! Je sais que c'est douloureux d'être attaqué, mais ne T -on pas en Guides des leçons ? » a déclaré l'exploiteur mercredi dans les données de la blockchain Ethereum . À l'heure où nous mettons sous presse, environ la moitié des fonds volés ont été restitués.

Ce n’est pas vraiment à moi de dire s’ils le sont.véritablementUn hacker « white hat » ou un hacker « black hat » qui a réalisé qu'il serait impossible de récupérer ses gains. Pour ce que ça vaut,Tor Ekeland, un avocat qui a bâti sa carrière en défendant les malfaiteurs informatiques, a déclaré : « Le piratage informatique est souvent davantage une question de frisson que de tout objet obtenu lors du piratage. »

Les piratages et les exploits ne sont pas rares dans l'écosystème croissant de la Finance décentralisée (DeFi), dont POLY Network faisait partie et qui pèse plusieurs milliards de dollars. Souvent le résultat de scripts conçus à la hâte ou de failles plus profondes au niveau du protocole, les attaques jouent également un rôle important dans le renforcement de la sécurité des réseaux informatiques. C'est d'autant plus vrai dans le monde de la blockchain.

En fait, certains affirment que les piratages conduisent à un code inviolable. C'est un point controversé, notamment parce que les pirates ne restituent T toujours les fonds volés, et que des personnes en subissent indéniablement les conséquences.

Sur le même sujet : Une extorsion qui a mal tourné : les négociations de Binance avec son « KYC Leaker »

« Dans le monde de la blockchain, lorsque quelqu'un déploie un contrat intelligent - comme sur Ethereum - qui présente une vulnérabilité, des centaines de millions de dollars disparaissent du jour au lendemain et il n'y a aucun recours », a déclaré le légendaire ancien informaticien de Google et fondateur de Agorique, a déclaré Mark Miller lors d'une conférence du Foresight Institute à2018Il existe d'énormes programmes de primes aux bugs. Et lorsqu'un de ces programmes est collecté, le logiciel concerné disparaît.

En d'autres termes, les systèmes basés sur la blockchain sont soumis à une pression évolutive. Les projets faibles risquent une « mort prématurée », de sorte que l'ensemble du système est peuplé de code sécurisé.

La Technologies blockchain n'existe que depuis un peu plus d'une décennie. La DeFi, telle que nous la connaissons, est encore plus récente. Il est indéniable que nous n'en sommes qu'aux prémices de son adoption, et de nombreuses erreurs sont à prévoir en cours de route.

Les piratages ne sont T le seul moyen pour les projets ou les protocoles d'évoluer. On peut construire des choses simples lentement, comme dans le cas de Bitcoin, qui n'a connu que deux pannes en 12 ans d'existence. Il existe des audits externes et un rôle potentiel pour les décideurs politiques ou les régulateurs gouvernementaux.

Mais rechercher des failles dans une base de code ou trouver des exploiteurs après coup, c'est comme « chasser les loups », a déclaré Zooko Wilcox-O'Hearn, spécialiste de la sécurité informatique et idée originale derrière Zcash, dans un message direct, empruntant une phrase à Vitalik Buterin.

Il devrait le savoir. En 2015, sa société d'audit, Least Authority, a été engagée par un groupe de développeurs pour réaliser un audit de sécurité du réseau Ethereum , qui allait bientôt être lancé. Nombre des vulnérabilités qu'ils ont découvertes trouvé ont été corrigés, mais pas ONE lié à la « réentrance », qui permettait aux gens de déployer des contrats intelligents pouvant être exploités.

Quelques années plus tard, cette même vulnérabilité a été exploitée dans «Le piratage du DAO”, un casse-tête de 55 millions de dollars qui a conduit à la scission controversée entre Ethereum et Ethereum Classic. Lors de la publication de son rapport, Least Authority a même fourni un exemple hypothétique de contrat intelligent exploitable : un contrat intelligent de financement participatif, comme The DAO.

Sur le même sujet : Le piratage de 55 millions de dollars qui a failli faire tomber Ethereum | Matthew Leising

À mesure que les contrats intelligents investissent de plus en plus d'argent, il devient de plus en plus difficile de « chasser les loups » ou les exploiteurs individuels. Grâce aux piratages, des communautés entières Guides ensemble ce qui doit être répété ou non. Au fil du temps, cela conduit à un code plus « fiable ». C'est une façon de « protéger les moutons ».

« Si nous, humains, comptons sur les ordinateurs pour accomplir des tâches importantes – et c'est le cas ! –, il est absolument indispensable que ces programmes soient inviolables. Et malgré le cynisme et le désespoir de mes collègues experts en sécurité, c'est tout à fait réalisable ! » a déclaré Wilcox.

Pour chaque programme comme The DAO et POLY exploité en raison d'une vulnérabilité, on peut identifier un autre programme qui a fait la même chose, mais qui n'était pas vulnérable. Le progrès est donc possible !

MISE À JOUR (12 août 2021, 18h35 UTC) :Correction du nom d'Agoric. Nous regrettons l'erreur.