Les attaques blockchain de Verge méritent un second regard objectif

La fameuse attaque des 51 % : c'est la faille majeure des protocoles de Cryptomonnaie , mais elle est rarement observée, surtout parmi les cryptomonnaies les plus populaires.

Pourtant, au cours des deux derniers mois, l'exploit – par lequel un mineur (ou un groupe de mineurs) prend le contrôle de plus de la moitié de la puissance de calcul totale du réseau et peut ensuite contourner les règles du protocole à son avantage – a été observé à deux reprises. Et sur la même blockchain.

En effet, Verge, une Cryptomonnaie axée sur la confidentialité, a récemment été propulsée sous les feux de la rampe. par un partenariat avec le site de divertissement pour adultes populaire Pornhub, a subi deux piratages perpétrés via des attaques à 51 % qui ont vu les attaquants s'enfuir avec des millions de dollars de sa Cryptomonnaie native, XVG.

Pendant la première attaque En avril (quelques semaines seulement avant le partenariat avec Pornhub), un pirate informatique a réussi à s'emparer de 250 000 XVG. À la mi-mai, un attaquant a réussi à exploiter 1,7 million de dollars de Cryptomonnaie via le protocole.

Selon les chercheurs, les exploits sont le produit de simples modifications apportées au code sous-jacent sur lequel les protocoles de Cryptomonnaie sont généralement construits et des défis liés à la capacité à prédire les conséquences imprévues qui découleront de ces modifications.

Bien sûr, les développeurs de Verge essayaient seulement de concevoir une meilleure Cryptomonnaie pour les paiements, mais en modifiant de petits paramètres, comme la durée de validité d'un bloc, le groupe a ouvert sa blockchain aux attaques.

« Il est difficile de mettre en place des incitations efficaces et de les maintenir efficaces », a déclaré Arthur Gervais, professeur adjoint à l'Imperial College de Londres et fondateur de Liquidity Network.

Cela signifie que les blockchains sont construites sur des incitations empilées de manière très précaire, dans lesquelles toutes les parties prenantes travaillent ensemble vers un objectif commun afin d'éliminer le risque qu'une ONE prenne le contrôle total.

« La situation ne s'annonce clairement T bien », a déclaré Daniel Goldman, directeur technique du site d'analyse de Cryptomonnaie The Abacus, qui suit les attaques. « Les problèmes initialement apparus dans le code source résultaient d'une négligence pure et simple : l'intégration de code provenant d'autres logiciels open source sans en comprendre les implications. »

Goldman a ajouté :

« Je regrette de le dire, mais si je devais résumer, l'attaquant fait preuve de plus de diligence raisonnable que les développeurs. À leur place, j'essaierais de le recruter. »

Et puisque les développeurs vétérans de la blockchain, y compris le créateur de Litecoin Charlie Lee et développeur principal de Monero Riccardo Spagni, ont longtemps soutenu que les types d'ajustements effectués par la plateforme présentaient des inconvénients évidents, ces opposants - qui ont été facilement attaqués par un groupe de passionnés se faisant appeler «Verge Army » - se sentent justifiés.

« Il y a tellement de leçons importantes à tirer de cela », a tweeté Nic Carter, analyste en recherche d'investissement chez Fidelity.en résumél'état général de développement de Verge.

Les représentants de l'équipe de développement de Verge n'ont pas répondu à une Request de commentaire de CoinDesk.

Le problème

ONEune de ces leçons est qu’il existe des raisons pour lesquelles la fenêtre de temps pendant laquelle une transaction peut être valide est limitée de manière assez stricte.

Par exemple, alors que les transactions Bitcoin ne sont valables qu'une dizaine de minutes avant d'être vérifiées dans un bloc, les développeurs de Verge ont étendu cette période à deux heures. En raison d'une certaine asymétrie d'information dans les systèmes blockchain, les nœuds étant répartis sur toute la planète, l'attaquant a pu « usurper » les horodatages liés aux blocs sans que personne ne s'en aperçoive, selon les informations. le message largement diffusépar Goldman.

Mais ce n’était T tout ; un autre élément des attaques était l’algorithme de difficulté de Verge.

Verge utilise l'algorithme « Dark Gravity Wave » pour ajuster automatiquement la vitesse à laquelle les mineurs trouvent les blocs. Chez Verge, cette optimisation se produit toutes les deux heures ; contrairement à Bitcoin , qui s'ajuste toutes les deux semaines, l'algorithme de Verge est relativement rapide.

Les horodatages falsifiés associés à cet algorithme d'ajustement rapide ont conduit au problème de « confusion tragique de l'algorithme d'ajustement minier du protocole », comme l'a déclaré Goldman.

Autrement dit, l'attaquant a intelligemment miné des blocs avec de faux horodatages, forçant la difficulté de la cryptomonnaie à s'ajuster plus rapidement, ce qui permet à l'attaquant d'exploiter encore plus de XVG.

Lors de la première attaque, les développeurs de Verge ont rapidement publié un correctif, empêchant l'attaquant d'imprimer davantage de billets. Pourtant, avec l'attaque du mois dernier, il semble que le correctif n'ait pas été plus efficace et que l'attaquant ait trouvé un autre moyen d'exécuter le même piratage, démontrant ainsi la difficulté de concevoir un système distribué T aux attaques.

Attaques continues

Et selon Goldman, les problèmes de Verge ne sont probablement pas terminés.

« Une attaque était clairement – etpeut-être que c'est toujours le cas – une tentative a été lancée. Jusqu'à présent, cependant, l'attaquant potentiel n'a T réussi à prendre le contrôle du réseau », a déclaré Goldman à CoinDesk.

Mais il a continué :

« Dans l’état actuel des choses, deux des trois sources fondamentales de vulnérabilités (à mon Analyses) ont été au mieux atténuées, et une reste complètement non corrigée. »

Bien qu'aucun XVG n'ait été volé directement aux utilisateurs, les mineurs du réseau ne sont T censés pouvoir contourner les règles de cette manière, imprimant ainsi de l'argent pour un individu dans un court laps de temps.

Ainsi, les développeurs de Verge travaillent activement à l'amélioration du code. Après une période de faible communication de leur part, CryptoRekt, l'auteur pseudonyme du « blackpaper » de Verge , a pris la relève. à Reddit le 31 mai, déclarant que toute l'équipe de Verge ne « ferait jamais intentionnellement quoi que ce soit pour ternir ou nuire à ce projet ».

Il a ajouté que les développeurs du projet travaillaient sur un nouveau code depuis « plusieurs semaines » pour « solidifier notre monnaie contre toute attaque future ».

Pourtant, Goldman Sachs estime qu'il existe un autre problème. Contrairement à de nombreux projets de Cryptomonnaie actuels, qui reposent sur du code open source, le code source de Verge est construit en privé et ne sera donc pas examiné par la communauté d'experts blockchain, qui pourraient aider l'équipe à identifier les vulnérabilités.

« Étant donné que l'incorporation de code sans vérification responsable est la cause de tout cela, cela devrait rendre la famille Verge nerveuse », a-t-il tweeté.

L'avenir de Verge ?

Mais jusqu'à présent, une grande partie de la communauté Verge continue de soutenir l'équipe de développeurs et la mission de la crypto-monnaie.

Pseudonymeutilisateur de Verge Crypto DogIl est même allé jusqu'à affirmer qu'il n'y avait « pas lieu de paniquer », affirmant que le succès de Verge se poursuivrait quoi qu'il arrive.CryptoRekt a choisi de le voir comme une expérience d'apprentissage, une ONE qui aiderait Verge à « construire un projet plus grand et meilleur ».

Pourtant, cette attaque fait mauvaise LOOKS , non seulement auprès de Verge , mais aussi auprès des organisations partenaires, dont Verge . D'autant plus que le vice-président de Pornhub Corey Price a déclaré Verge a été choisi comme moyen de paiement pour le site dans le cadre d'un « processus de sélection très délibéré » visant à préserver la Politique de confidentialité financière de ses clients.

Ainsi, certains développeurs pensent que cet épisode suscitera un sens accru des responsabilités chez de nombreuses organisations afin qu’elles analysent plus efficacement une blockchain avant de l’adopter.

« Je ne serais T surpris par un examen plus approfondi dans un avenir NEAR , ce qui conduirait à la fois à davantage d'attaques et à une évaluation plus précise par les investisseurs de la proposition de valeur des petits projets altcoin », a déclaré Mark Erhardt, ingénieur chez BitGo, ajoutant :

L'absence d'attaque ne garantit pas la sécurité d'un système. De nombreux projets d'altcoins semblent emprunter des chemins dangereux. C'est juste que personne n'a encore pris la peine d'exploiter ces failles ou faiblesses systémiques.

En tant que tel, Verge pourrait être le premier d’une longue série d’exploits futurs.

Alors que les attaques à 51 % étaient généralement considérées comme difficiles à exécuter, Gervais, de Liquidity Network, a affirmé que de nouvelles données semblent montrer que c'est plus facile qu'on ne le pensait. Il a cité une nouvelle application web :51crypto, qui suit la rentabilité de l'exécution d'une attaque à 51 % sur diverses blockchains.

L’essentiel des statistiques est que plus la blockchain est petite, plus il est facile de la dépasser et de contourner les règles, c’est pourquoi les développeurs doivent être particulièrement prudents dans la manière dont ils conçoivent leurs systèmes.

Car « si une attaque a plus de sens économique qu'un comportement honnête, les attaquants seront là », conclut Gervais.

Image de bordvia Shutterstock