Web3 ne deviendra pas grand public tant qu'il n'y aura pas d'intégration transparente de la blockchain : avec de plus en plus d'attaques de pont, qu'est-ce que cela signifie ?

En mars 2022, le réseau de crypto-monnaie Ronin a révélé qu'il avait été victime de l'un des plus grands piratages de tous les temps, subissant une brèche qui permettait aux attaquants de voler plus de 540 millions de dollars valeur de pièces Ethereum et USD. L'incident a vu des pirates exploiter une vulnérabilité dans un service connu sous le nom de Ronin Bridge. C'est l'une des nombreuses attaques réussies contre les "ponts de la chaîne de blocs" qui ont récemment attiré l'attention sur leurs inefficacités de sécurité inhérentes.

Les ponts blockchain, parfois appelés ponts réseau, sont des services qui permettent aux détenteurs de crypto de déplacer leurs actifs numériques d'une blockchain à une autre. Ils jouent un rôle important, car les crypto-monnaies sont souvent cloisonnées et manquent d'interopérabilité, ce qui signifie que vous pouvez envoyer du Bitcoin à une adresse de portefeuille Ethereum, par exemple. En raison de cette nature cloisonnée, les ponts sont devenus un mécanisme clé au sein de la crypto-économie.

Les services de pont ne transfèrent pas réellement un type d'actif numérique vers une autre chaîne. Au contraire, ce qu'ils font, c'est "emballer" les jetons de crypto-monnaie afin de les convertir en un nouvel actif sur l'autre chaîne. Donc, si un utilisateur veut relier Bitcoin à Solana, le pont gèlera essentiellement le BTC d'origine en le verrouillant dans une adresse de portefeuille, avant de recracher ce que l'on appelle le BTC enveloppé (WBTC) qui peut être utilisé sur la deuxième chaîne. Il peut être considéré comme une sorte de carte-cadeau qui offre exactement la même valeur monétaire, qui ne peut être utilisée que dans un magasin spécifique.

En raison de leur mode de fonctionnement, les ponts détiennent donc d'importantes réserves de jetons de crypto-monnaie qui sont verrouillés dans des contrats intelligents, et ces réserves les rendent particulièrement attrayants pour les pirates.

Comme les piliers de la cryptographie ne le savent que trop bien, toute valeur détenue en chaîne est sujette à des attaques à tout moment de la journée. Internet ne se déconnecte jamais, ce qui signifie que les jetons détenus par n'importe quel pont sont toujours accessibles.

Ronin Hack montre le danger de la centralisation

 L'attaque contre le réseau Ronin a été l'un des plus gros braquages ​​DeFi jamais réalisés en termes de valeur en dollars. Ronin est une sidechain Ethereum qui permet des transactions moins chères à des vitesses beaucoup plus rapides que le réseau principal. C'était le pont de choix pour le populaire jeu de crypto-monnaie "play-to-earn" Axie Infinity, ce qui signifie qu'il traitait constamment des millions de dollars en crypto et stablecoins.

Les sidechains sont une solution de mise à l'échelle de la blockchain qui nécessite un pont pour se connecter à d'autres chaînes. Avec Ronin, les utilisateurs peuvent verrouiller leur ETH et leur ETH emballé à la menthe sur des réseaux alternatifs. Les transactions sont traitées et approuvées via un algorithme de consensus de preuve d'autorité. Avec ce modèle, 5 validateurs sur 9 doivent s'accorder sur une transaction pour qu'un consensus soit atteint. Cependant, quatre des validateurs de Ronin étaient exploités par une seule société - Sky Mavis, le développeur de Ronin.

Il s'agissait d'une configuration fortement centralisée qui résultait de la décision d'Axie Dao de mettre en place un nœud RPC sans gaz en novembre 2021 pour essayer de résoudre la congestion du réseau. Le DAO a autorisé les clés Sky Mavis à signer des transactions en son nom. Ce n'était censé être qu'un arrangement temporaire, mais la liste d'autorisation n'a jamais été révoquée. Cette créé une ouverture pour les attaquants – qui seraient le groupe Lazarus parrainé par la Corée du Nord – qui ont utilisé des techniques d'ingénierie sociale pour compromettre les quatre clés de Sky Mavis. Les hackers ont alors découvert une vulnérabilité dans le code du RPC, lui donnant le contrôle d'un cinquième validateur et lui permettant d'effectuer un retrait illicite.

Le principal problème était que le système de signatures multiples de Ronin pour la signature des transactions était compromis en raison d'un manque de décentralisation. Elle illustre la faiblesse des mécanismes de sécurité où la majorité de la gouvernance est concentrée entre les mains d'une seule entité.

Les vulnérabilités des contrats intelligents persistent

 Le piratage de Ronin n'était pas unique, mais plutôt la dernière d'une série d'attaques très médiatisées contre des ponts de blockchain qui ont entraîné la perte de millions de dollars de valeur. Un mois plus tôt, les attaquants ont réussi à s'emparer d'environ 80 millions de dollars d'Ethereum à la suite d'une attaque sur le pont Qubit.

Il s'agit d'un service exploité par la plateforme Qubit Finance, qui permet aux utilisateurs de prêter et d'emprunter des actifs numériques sur les réseaux Ethereum et Binance Smart Chain. Il permet par exemple de déposer un token ERC-20 et de recevoir en échange un coin BEP-20, utilisable ensuite sur la chaîne Binance.

Qubit Bridge a été piraté en raison de ce que l'on a qualifié d'"erreur logique" dans le code de son contrat intelligent. La vulnérabilité a permis au pirate de manipuler le pont à l'aide de données malveillantes, afin qu'il puisse retirer des jetons BSC sans effectuer de dépôt sur Ethereum. Un autopsie de l'attentat a constaté que le contrat intelligent QBridge ne vérifiait pas correctement que la quantité requise d'ETH était verrouillée. Au lieu de cela, le pirate a pu montrer une fausse preuve d'un dépôt inexistant.

L'incident a servi à souligner à quel point les vulnérabilités des contrats intelligents restent un problème persistant dans DeFi, et en particulier pour les ponts blockchain. La grande majorité des attaques de pont ciblent les bogues dans les contrats intelligents, qui sont des contrats automatisés qui s'exécutent automatiquement lorsque certaines conditions sont remplies.

Les ponts sont la clé pour étendre la portée de Crypto

 Les plates-formes de cryptographie ont fait l'objet d'un flot incessant d'attaques depuis que l'industrie naissante a commencé à devenir populaire. Les adeptes de DeFi disent qu'il peut fournir une alternative plus accessible et équitable aux services financiers traditionnels, mais à mesure que l'espace a évolué, il a été soumis à ce qui est essentiellement une épreuve du feu. Les attaques contre les ponts sont devenues aussi courantes que les échanges de crypto-monnaie et les vols de protocole DeFi. Le problème est que les ponts, comme les échanges et les protocoles, sont des plates-formes à enjeux élevés qui détiennent d'énormes quantités de valeur et chacun d'entre eux pourrait être vulnérable aux bogues dans son code sous-jacent.

Il existe une croyance répandue selon laquelle la crypto et la DeFi ne parviendront jamais à une adoption généralisée sans une solution appropriée au risque d'attaques. La grande majorité de la valeur mondiale est détenue par des investisseurs institutionnels, tels que les banques d'investissement et les grands fonds spéculatifs. Ces organisations accordent la priorité à la conformité et à la sécurité de leurs fonds avant tout profit potentiel. Il est donc peu probable que DeFi et la cryptographie deviennent bien plus qu'une industrie d'investissement de niche jusqu'à ce que ses problèmes de sécurité puissent être résolus.

La sécurité des ponts revêt une importance particulière. La nature cloisonnée des blockchains est un sérieux handicap qui limite la portée potentielle de toute application décentralisée. Un dApp construit sur Ethereum ne peut pas parler à d'autres basés sur différentes blockchains. Il ne peut pas effectuer de transactions avec Bitcoin, la crypto-monnaie la plus précieuse et la plus utilisée au monde, ce qui signifie que les détenteurs de BTC n'ont aucun moyen d'interagir avec l'écosystème DeFi. Si la cryptographie doit devenir omniprésente, les utilisateurs doivent disposer d'un moyen sûr de communiquer avec différentes chaînes.

Construire de meilleurs ponts

 La bonne nouvelle est que certains acteurs de l'industrie reconnaissent l'importance d'une connectivité blockchain sécurisée. Une perspective passionnante est AllianceBlock très prometteur AllianceBridge, qui prend en charge les principaux réseaux, notamment Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism et Energy Web avec une infrastructure unique plus décentralisée et offrant des performances plus rapides et plus sûres.

Contrairement aux ponts centralisés, qui reposent sur une seule ou quelques entités pour vérifier que les transactions sont légitimes, les ponts décentralisés reposent sur les mêmes principes que la blockchain elle-même. De nombreux opérateurs utilisent des mécanismes de consensus bien structurés pour établir la validité des transactions. AllianceBridge est un pont décentralisé qui a développé une méthode unique pour s'assurer qu'un consensus est atteint.

Comme avec d'autres, AllianceBridge verrouille les jetons qu'il reçoit dans un contrat intelligent, puis émet des jetons enveloppés sur la blockchain cible. Ces jetons enveloppés existeront sur la deuxième chaîne jusqu'à ce que l'utilisateur décide de les échanger sur le réseau d'origine. À ce stade, les jetons enveloppés sont brûlés, ce qui signifie qu'ils cessent d'exister, tandis que les jetons d'origine de la chaîne native sont déverrouillés.

Là où AllianceBridge diffère, c'est qu'il utilise un réseau d'opérateurs de pont compatible EVM. En outre, il exploite le robuste, tiers Service de consensus Hedera Hashgraph qui est propulsé par un "potins-sur-potins” algorithme de consensus.

En utilisant le service HCS, les applications et les réseaux blockchain peuvent soumettre des messages au grand livre public Hedera, où ils sont horodatés et classés en toute transparence. Cela permet à AllianceBridge de parvenir à un consensus sans maintenir la synchronisation entre ses opérateurs de pont. Cela signifie des performances plus rapides avec un degré élevé de décentralisation, tandis que HCS fournit une couche de confiance supplémentaire qui rend le pont plus sécurisé.

Les contrats intelligents d'AllianceBridge, qui sont utilisés pour verrouiller les actifs d'origine et créer et graver des jetons emballés, offrent encore plus de sécurité. L'ensemble de la base de code du contrat intelligent a été écrit pour résonner avec la norme EIP-2535 et a été entièrement audité par Omniscia. Au cours de l'audit, Omniscia a souligné un certain nombre de problèmes potentiels qui ont été rapidement résolus par AllianceBlock avant la mise en ligne du code.

La sécurité et la fiabilité d'AllianceBridge ont joué un rôle clé dans l'expansion de l'utilité de la suite d'offres DeFi d'AllianceBlock, y compris Borne DeFi, qui permet aux projets de lancer facilement des campagnes d'extraction de liquidités et de jalonnement sur plusieurs réseaux et applications dApp pris en charge. Avec son protocole d'interopérabilité de blockchain sécurisé, AllianceBlock construit la base solide dont un écosystème Web3 riche et interconnecté a besoin pour se développer et évoluer.

- Publicité -