En mars 2022, le réseau de crypto-monnaie Ronin a révélé qu'il avait été victime de l'un des plus grands piratages de tous les temps, subissant une brèche qui permettait aux attaquants de voler plus de 540 millions de dollars valeur de pièces Ethereum et USD. L'incident a vu des pirates exploiter une vulnérabilité dans un service connu sous le nom de Ronin Bridge. C'est l'une des nombreuses attaques réussies contre les "ponts de la chaîne de blocs" qui ont récemment attiré l'attention sur leurs inefficacités de sécurité inhérentes.
Les ponts blockchain, parfois appelés ponts réseau, sont des services qui permettent aux détenteurs de crypto de déplacer leurs actifs numériques d'une blockchain à une autre. Ils jouent un rôle important, car les crypto-monnaies sont souvent cloisonnées et manquent d'interopérabilité, ce qui signifie que vous pouvez envoyer du Bitcoin à une adresse de portefeuille Ethereum, par exemple. En raison de cette nature cloisonnée, les ponts sont devenus un mécanisme clé au sein de la crypto-économie.
Les services de pont ne transfèrent pas réellement un type d'actif numérique vers une autre chaîne. Au contraire, ce qu'ils font, c'est "emballer" les jetons de crypto-monnaie afin de les convertir en un nouvel actif sur l'autre chaîne. Donc, si un utilisateur veut relier Bitcoin à Solana, le pont gèlera essentiellement le BTC d'origine en le verrouillant dans une adresse de portefeuille, avant de recracher ce que l'on appelle le BTC enveloppé (WBTC) qui peut être utilisé sur la deuxième chaîne. Il peut être considéré comme une sorte de carte-cadeau qui offre exactement la même valeur monétaire, qui ne peut être utilisée que dans un magasin spécifique.
En raison de leur mode de fonctionnement, les ponts détiennent donc d'importantes réserves de jetons de crypto-monnaie qui sont verrouillés dans des contrats intelligents, et ces réserves les rendent particulièrement attrayants pour les pirates.
Comme les piliers de la cryptographie ne le savent que trop bien, toute valeur détenue en chaîne est sujette à des attaques à tout moment de la journée. Internet ne se déconnecte jamais, ce qui signifie que les jetons détenus par n'importe quel pont sont toujours accessibles.
Ronin Hack montre le danger de la centralisation
Il s'agissait d'une configuration fortement centralisée qui résultait de la décision d'Axie Dao de mettre en place un nœud RPC sans gaz en novembre 2021 pour essayer de résoudre la congestion du réseau. Le DAO a autorisé les clés Sky Mavis à signer des transactions en son nom. Ce n'était censé être qu'un arrangement temporaire, mais la liste d'autorisation n'a jamais été révoquée. Cette créé une ouverture pour les attaquants – qui seraient le groupe Lazarus parrainé par la Corée du Nord – qui ont utilisé des techniques d'ingénierie sociale pour compromettre les quatre clés de Sky Mavis. Les hackers ont alors découvert une vulnérabilité dans le code du RPC, lui donnant le contrôle d'un cinquième validateur et lui permettant d'effectuer un retrait illicite.
Le principal problème était que le système de signatures multiples de Ronin pour la signature des transactions était compromis en raison d'un manque de décentralisation. Elle illustre la faiblesse des mécanismes de sécurité où la majorité de la gouvernance est concentrée entre les mains d'une seule entité.
Les vulnérabilités des contrats intelligents persistent
Qubit Bridge a été piraté en raison de ce que l'on a qualifié d'"erreur logique" dans le code de son contrat intelligent. La vulnérabilité a permis au pirate de manipuler le pont à l'aide de données malveillantes, afin qu'il puisse retirer des jetons BSC sans effectuer de dépôt sur Ethereum. Un autopsie de l'attentat a constaté que le contrat intelligent QBridge ne vérifiait pas correctement que la quantité requise d'ETH était verrouillée. Au lieu de cela, le pirate a pu montrer une fausse preuve d'un dépôt inexistant.
L'incident a servi à souligner à quel point les vulnérabilités des contrats intelligents restent un problème persistant dans DeFi, et en particulier pour les ponts blockchain. La grande majorité des attaques de pont ciblent les bogues dans les contrats intelligents, qui sont des contrats automatisés qui s'exécutent automatiquement lorsque certaines conditions sont remplies.
Les ponts sont la clé pour étendre la portée de Crypto
Construire de meilleurs ponts
La bonne nouvelle est que certains acteurs de l'industrie reconnaissent l'importance d'une connectivité blockchain sécurisée. Une perspective passionnante est AllianceBlock très prometteur AllianceBridge, qui prend en charge les principaux réseaux, notamment Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism et Energy Web avec une infrastructure unique plus décentralisée et offrant des performances plus rapides et plus sûres.
Contrairement aux ponts centralisés, qui reposent sur une seule ou quelques entités pour vérifier que les transactions sont légitimes, les ponts décentralisés reposent sur les mêmes principes que la blockchain elle-même. De nombreux opérateurs utilisent des mécanismes de consensus bien structurés pour établir la validité des transactions. AllianceBridge est un pont décentralisé qui a développé une méthode unique pour s'assurer qu'un consensus est atteint.
Comme avec d'autres, AllianceBridge verrouille les jetons qu'il reçoit dans un contrat intelligent, puis émet des jetons enveloppés sur la blockchain cible. Ces jetons enveloppés existeront sur la deuxième chaîne jusqu'à ce que l'utilisateur décide de les échanger sur le réseau d'origine. À ce stade, les jetons enveloppés sont brûlés, ce qui signifie qu'ils cessent d'exister, tandis que les jetons d'origine de la chaîne native sont déverrouillés.
Là où AllianceBridge diffère, c'est qu'il utilise un réseau d'opérateurs de pont compatible EVM. En outre, il exploite le robuste, tiers Service de consensus Hedera Hashgraph qui est propulsé par un "potins-sur-potins” algorithme de consensus.
En utilisant le service HCS, les applications et les réseaux blockchain peuvent soumettre des messages au grand livre public Hedera, où ils sont horodatés et classés en toute transparence. Cela permet à AllianceBridge de parvenir à un consensus sans maintenir la synchronisation entre ses opérateurs de pont. Cela signifie des performances plus rapides avec un degré élevé de décentralisation, tandis que HCS fournit une couche de confiance supplémentaire qui rend le pont plus sécurisé.
Les contrats intelligents d'AllianceBridge, qui sont utilisés pour verrouiller les actifs d'origine et créer et graver des jetons emballés, offrent encore plus de sécurité. L'ensemble de la base de code du contrat intelligent a été écrit pour résonner avec la norme EIP-2535 et a été entièrement audité par Omniscia. Au cours de l'audit, Omniscia a souligné un certain nombre de problèmes potentiels qui ont été rapidement résolus par AllianceBlock avant la mise en ligne du code.
La sécurité et la fiabilité d'AllianceBridge ont joué un rôle clé dans l'expansion de l'utilité de la suite d'offres DeFi d'AllianceBlock, y compris Borne DeFi, qui permet aux projets de lancer facilement des campagnes d'extraction de liquidités et de jalonnement sur plusieurs réseaux et applications dApp pris en charge. Avec son protocole d'interopérabilité de blockchain sécurisé, AllianceBlock construit la base solide dont un écosystème Web3 riche et interconnecté a besoin pour se développer et évoluer.
- Publicité -
Source: https://thecryptobasic.com/2022/09/21/web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean/?utm_source=rss&utm_medium=rss&utm_campaign=web3-wont-go-mainstream-until-there-is-seamless-blockchain-integration-with-more-and-more-bridge-attacks-what-does-this-mean