Les ponts blockchain sont KEEP attaqués. Voici comment les éviter.

Les ponts inter-chaînes rendent possible l'interopérabilité au sein de la sphère blockchain. Ils permettent aux protocoles de communiquer ONE eux, de partager des données et de créer de nouveaux cas d'utilisation prometteurs qui propulsent le Web3 vers de nouveaux horizons. Mais comme le souligne le rapport de ce mois-ci, Exploit de la chaîne intelligente BNB nous rappelle qu’ils sont vulnérables aux attaques.

Si nous voulons exploiter le potentiel des ponts, nous devons Guides à les protéger.

Les ponts ont à juste titre gagné la réputation d’être les ponts du Web3LINK faibleAprès une série d'exploits cette année, les pirates informatiques ont constaté que les jetons en transit sont tout aussi vulnérables, tout comme les voleurs préfèrent cibler les actifs transportés dans des camionnettes (plutôt que enfermés dans des coffres-forts bancaires dotés de systèmes de sécurité sophistiqués).

Coby Moran est chercheur principal chez Merkle Science, une plateforme Web3 prédictive de risque et de renseignement. Il a auparavant été analyste au FBI (Federal Bureau of Investigation) des États-Unis.

Ils savent également que des fonds importants franchissent ces intersections. Avec un actif total estimé à plus de54 milliards de dollarsLa Finance décentralisée (DeFi) constitue une cible particulièrement attractive. Avant même l'attaque BNB , les ponts Crypto représentaient plus de 1,6 milliard de dollars sur les 2 milliards de dollars volés aux protocoles DeFi en 2022. L'ampleur et la régularité de ces exploits démontrent pourquoi les ponts défaillants gagnent en notoriété.

• Février: Trou de ver– 375 millions de dollars
• Mars: Pont Ronin– 624 millions de dollars
• Août: Pont nomade– 190 millions de dollars
• Septembre: Wintermute– 160 millions de dollars

D'après mon expérience en tant qu'analyste sur la piste de fonds volés (comme dans leexploit récent de Wintermute), il est clair que la prévention et la défense sont les domaines sur lesquels la communauté blockchain devrait concentrer ses efforts collectifs.

Voir aussi :Appeler un piratage un exploit minimise l'erreur Human | Analyses

Le FBI a averti les investisseurs que les cybercriminels exploitent « la complexité des fonctionnalités inter-chaînes ». Cela concorde avec les discours actuels selon lesquels les ponts ne sont pas seulement vulnérables, mais constituent des vulnérabilités.

Mais il existe des moyens de prévenir les exploits. En tant qu'ancien analyste du FBI ayant travaillé au sein du groupe de travail sur la cybercriminalité à Washington, je peux affirmer que les exploits sont rarement d'une intelligence ou d'une sophistication diabolique (du genre que l'on pourrait voir dans un film hollywoodien). Il s'agit plutôt de failles de sécurité souvent prévisibles.

Pour en rester au monde des ponts, qui sont généralement exploités suite à l'introduction de bugs de code ou à la fuite de clés cryptographiques, ils sont souvent relativement sophistiqués, mais prévisibles. Prenons l'exemple d'exploits tels que ceux-ci :

• Faux dépôts :Bridges surveille les Événements de dépôt sur une blockchain pour initier un transfert vers une autre. Si un acteur malveillant parvient à générer un événement de dépôt sans effectuer de dépôt réel, ou effectue un dépôt avec un jeton sans valeur, il peut retirer de la valeur du pont de l'autre côté. TheQubit Finance raidEn janvier, c'est un bon exemple : tromper le protocole en lui faisant croire que les attaquants avaient déposé de l'argent alors que ce n'était pas le cas.
• Défauts du validateur :Les ponts effectuent également la validation des dépôts avant d'autoriser les transferts. Les pirates informatiques peuvent tenter de créer de faux dépôts pour contourner ce processus. C'est ce qui s'est produit lors du piratage de Wormhole, où une faille dans la validation de la signature numérique a été exploitée. Techniquement, il s'agissait d'un exemple courant d'exploitation de contrats intelligents. Mais, comme nous le constatons, si cela se produit sur un pont, c'est le pont qui est mis en cause.
• Prise de contrôle du validateur :Ce scénario repose sur la prise de contrôle d'un certain nombre de validateurs initialement configurés pour voter oui ou non lors d'un transfert de Cryptomonnaie . En contrôlant la majorité des votes, l'attaquant peut approuver n'importe quel transfert. Lors du piratage du réseau Ronin, par exemple, cinq des neuf validateurs du pont avaient été compromis de cette manière.

Comme le suggèrent ces exemples, se concentrer sur les failles des ponts sans prendre en compte les mesures de sécurité de base n'est pas la solution. Les ponts en soi ne sont pas le problème ; la Technologies est, après tout, agnostique. Le facteur le plus courant dans les exploits est l'erreur Human . Les enquêtes post-piratage et les correctifs qui en découlent mettent souvent en évidence notre vieille tendance à ne fermer la porte de l'écurie qu'après la fuite du cheval.

Problèmes Human

Lors des enquêtes, nous discutons souvent avec les membres de l'équipe projet, car ils sont souvent la cible d'exploits. Les pirates informatiques innovent rarement à chaque exploit, mais s'appuient plutôt sur une série de techniques ancestrales.

L'ingénierie sociale, ou le ciblage d'individus pour accéder à des comptes privilégiés, en est un exemple classique. On peut se lier d'amitié avec des individus, puis baisser la garde ou les harceler de questions au point de les amener à révéler un Secret.

Prenons l'exemple du pont Ronin, une chaîne latérale Ethereum conçue pour Axie Infinity qui permettait aux utilisateurs de transférer des actifs vers le réseau principal Ethereum . Cinq des neuf nœuds de validation du pont ont été compromis lors d'une attaque de phishing. Par la suite, Ronin a annoncé son intention d'augmenter ce nombre, tweetant : « La cause première de notre attaque était la petite taille du jeu de validateurs, qui facilitait la compromission du réseau. »

Voilà ces portes de grange qui se ferment.

Nous constatons également que les limites Human impactent la capacité à créer un code adapté à l'objectif. pénurie de développeurs Cela signifie qu'il n'y a tout simplement pas assez d'experts capables de construire et d'analyser des ponts. En examinant à nouveau l'incident du trou de ver, nous constatons qu'il a été favorisé par un problème de codage qui a permis aux pirates de créer un ensemble de signatures frauduleuses autorisant les transactions de frappe d'ether (ETH).

Si cela avait été découvert plus tôt, cette voie d'attaque aurait pu être démantelée. Il va sans dire que Wormhole comptait peu de contributeurs. (À l'inverse, notez Ethereum, avec ses nombreuses et importantes équipes de développeurs, a jusqu'à présent évité un piratage majeur.)

Voir aussi :Les ponts blockchain sont-ils sûrs ? Pourquoi les ponts sont-ils la cible de piratages ?

Les ponts sont des cibles faciles – des points centraux où sont stockées des sommes importantes sans protection robuste – et continueront d'être attaqués. Mais il ne faut pas oublier que les ponts ne sont pas les seuls à être vulnérables ; les blockchains des deux côtés sont menacées par des connexions mal protégées. Il est temps de se former et de se faire auditer.

Éducation:

• Envisagez de suivre un cours certifié sur la sécurité de la blockchain.
• KEEP au courant de l'actualité dans l'espace.
• Lorsqu'un exploit fait la une des journaux, faites vos propres recherches. Que pouvez-vous Guides qui pourrait être utile à votre projet ?

Audit :

• Assurez-vous que le nouveau code de pont est audité avant sa publication, puis testé par la suite.
• Augmenter le nombre de validateurs.
• Vérifiez régulièrement les faux Événements.
• Mettre en place un groupe de travail du personnel pour se concentrer sur la sécurité
• Envisagez de faire appel à des experts pour réaliser un audit. Demandez-leur s'ils utilisent les outils de suivi inter-chaînes les plus récents.
• Offrir des primes aux bugs vous aidera à couvrir plus de terrain.
• Assurez-vous que les adresses des contrats intelligents sont surveillées en permanence.

En fin de compte, la Crypto dans son ensemble subit un impact WAVES sur sa réputation et ses finances à chaque exploit. La solution consiste à Guides les leçons des erreurs que les pirates nous enseignent sans cesse, en redoubleant d'efforts pour éviter qu'elles ne se reproduisent.

Les ponts sont des éléments essentiels de l'infrastructure Web3 dont nous ne pouvons actuellement nous passer. Et nous devons les protéger plus efficacement.