Appeler un piratage un exploit minimise les erreurs Human

Hier, à partir de 18h24 UTC, quelqu'un ou quelque chose a exploité une faille de sécurité sur Wormhole, un outil qui permet aux utilisateurs d'échanger des actifs entre Ethereum et un certain nombre de blockchains, entraînant la perte de 120 000 éthers enveloppés (ou wETH, d'une valeur d'environ 321 $). millions) sur la plateforme.

Il s'agit de la deuxième plus grande attaque de Finance décentralisée (DeFi) à ce jour, selon le classement de rekt , dans un secteur où les exploits de sécurité sont assez courants et font partie de la courbe de risque des utilisateurs. Il existe toute une activité constituée de révisions de code, d'un lexique de jargon spécifique à l'industrie pour expliquer ce qui se passe et d'une sorte de manuel à Réseaux sociaux si et quand des « piratages » se produisent inévitablement.

Cet article est extrait de The Node, le résumé quotidien de CoinDesk des histoires les plus cruciales en matière d'actualités blockchain et Crypto . Vous pouvez vous inscrire pour recevoir la newsletter complète ici .

Wormhole, en plus d'avoir détecté et corrigé ce bug plus tôt, a apparemment essayé de faire la bonne chose : ils ont fermé la plate-forme pour éviter de nouvelles pertes, ont informé le public de ce qu'ils savent et ont annoncé que Jump Trading était en ligne pour reconstituer les pièces volées. .

Sur le même sujet : Le trou de ver du pont Blockchain subit un possible exploit d'une valeur de plus de 326 millions de dollars

De plus, dans un geste de plus en plus courant, le Wormhole Deployer a publié un message ouvert à l'exploitant sur Ethereum lui proposant un « accord de chapeau blanc » et 10 millions de dollars pour une explication de l'attaque en échange des fonds volés.

Excusez la comparaison, mais c’est comme attendre qu’un magicien tire un lapin d’un haut-de-forme. Le monde attend de voir s'il s'agit d'un hacker « blanc » ou « noir », termes destinés à expliquer les motivations d'un hacker. La réalité risque d’être un peu plus grise.

Piratages et exploits

« Les pirates au chapeau noir sont des criminels qui pénètrent dans les réseaux informatiques avec une intention malveillante », selon les experts en sécurité de Kaspersky. Ils peuvent utiliser des logiciels malveillants, voler des mots de passe ou exploiter le code tel qu'il est écrit pour des raisons « égoïstes » ou peut-être « idéologiques ». Les chapeaux blancs, également appelés « hackers éthiques » ou « bons hackers », sont « l’antithèse ». « Ils exploitent les systèmes informatiques ou les réseaux pour identifier leurs failles de sécurité afin de pouvoir formuler des recommandations d’amélioration », écrit Kaspersky.

En raison de la façon dont les réseaux Crypto sont conçus, il est souvent difficile de savoir à qui vous avez affaire. Les utilisateurs existent comme de longues chaînes de charabia alphanumériques, et leur passé se réduit à une série de transactions liées à leur adresse.

Ce système présente certains avantages. Même si les plateformes ne « connaissent »T leurs « clients », toutes les transactions sont enregistrées en chaîne et chacun peut « vérifier » quelles pièces appartiennent à qui. Les exploits DeFi sont souvent des impasses : les échanges, utilisés comme rampes d'entrée et de sortie vers et depuis l'économie Crypto , peuvent mettre sur liste noire les fonds volés, réduisant à néant l'utilité et la valeur de ces jetons.

Cela peut expliquer pourquoi certains des exploits les plus importants voient les cerveaux restituer leurs primes. Par exemple, en août dernier, le « hacker » de POLY Network, comme on l’a appelé, a restitué la quasi-totalité des 610 millions de dollars d’actifs Crypto volés et a demandé aux gens de considérer leur exploit comme un « hack chapeau blanc ». destiné à faire prendre conscience d'un bug désastreux.

Il s’agit peut-être d’une réécriture de l’histoire – d’une explication a posteriori d’une attaque finalement mal exécutée ? Cela pourrait se reproduire : nous T connaissons pas les motivations de l'exploitant de Wormhole, mais l'équipe du pont semble demander qu'ils mangent le virus en échange d'une coquette somme de 10 millions de dollars.

D’une certaine manière, le système est mis en place en faveur de l’attaquant. Lorsque quelqu’un utilise le code tel qu’il est écrit, mais pas comme prévu, les technologues parleront d’un « exploit ». Le code a priorité sur l’action Human , de sorte que les erreurs Human – comme la détection d’une mauvaise transaction ou l’absence d’une faille de sécurité béante – sont expliquées comme un processus naturel du code.

Une attaque n’est élevée au rang de « hack » que lorsque le code est réécrit ou cassé. Il s’agit d’une distinction technologique importante, même si les termes proviennent probablement de l’industrie du jeu, où le « piratage » d’un jeu pour obtenir un avantage injuste est souvent mal vu, alors que les « exploits », ou la découverte de failles dans le jeu, sont vantés.

Il est probablement juste de dire que cette récente attaque ne faisait T partie des plans ou des motivations du Wormhole Deployer. Une erreur dans le code semble avoir été commise, ou n'a pas été trouvée, et des solutions sont en cours d'élaboration. Cela pourrait indiquer les « limites fondamentales de sécurité des ponts », comme l’a noté le co-créateur Ethereum, Vitalik Buterin, dans un blog prémonitoire publié il y a quelques semaines.

L'attaquant a mené une série de transactions afin que le « contrat intelligent » de Wormhole soit confondu avec la fausse monnaie avec la réalité - une analyse complète ici . C’était une faille qu’une personne possédant des connaissances approfondies et beaucoup de temps a pu exploiter.

Certaines personnes considéreront cette attaque comme une contribution à l’ensemble des connaissances sur la Crypto. Certains ont même déclaré que ce processus pourrait finalement conduire à un « code impossible à pirater », car chaque contrat intelligent est une « prime aux bogues potentielle d’un million de dollars ».

Il vaut donc la peine de se demander si le langage utilisé par la Crypto pour expliquer sa myriade de vulnérabilités (risques empilés sur risques) contribue à l’activité continue de piratage. Ou si parfois nous tirons des définitions des chapeaux.