La finance décentralisée (DeFi) a peut-être émergé comme une catégorie passionnante dans l'écosystème de la blockchain, mais son état encore naissant a laissé de nombreux participants exposés aux risques qui l'accompagnent de cette itération de services financiers plus démocratisée.
Le dernier exploit de Wormhole, un pont blockchain entre Solana et Ethereum, souligne les failles qui continuent d'apparaître et d'affecter les utilisateurs de DeFi. Pour le contexte, le piratage de 325 millions de dollars était en fait le résultat d'une logique défectueuse dans la programmation du pont définie pour une mise à jour.
Habituellement, une transaction transitant par Wormhole vers Solana nécessite une signature de transaction valide et un tuteur (nœud de validation approuvé). Si ces deux conditions sont remplies, les demandes de transaction sont approuvées. En cas de signature de transaction invalide et de tuteur valide, les conditions nécessaires pour initier une transaction ne sont pas remplies, ce qui conduit Solana à refuser cette demande. Cependant, au lieu de présenter des conditions invalides où il y avait une signature de transaction invalide et un tuteur valide, le pirate a utilisé une signature invalide et un non-tuteur, créant ainsi deux conditions non approuvées.
Étant donné que deux conditions valides sont nécessaires pour former une « correspondance » pour accepter les demandes de transaction, et que deux conditions non valides peuvent également être considérées comme une « correspondance » dans la logique existante du système, cela a permis au pirate de frapper Ethereum enveloppé (wETH) sur Solana. . Sans avoir à déposer 120,000 120,000 ETH sur ce qui fonctionne comme un compte séquestre, le pirate a frappé XNUMX XNUMX wETH, qui ont ensuite été échangés, incitant Wormhole à déverrouiller l'Ethereum ordinaire qui garantissait d'autres wETH sur Solana.
Bien que l'équipe de Wormhole ait depuis fermé la faille, on ne sait pas comment elle a l'intention de recapitaliser les fonds volés au pont malgré l'annonce d'efforts à cet effet. Bien qu'ils aient fait des offres de primes au pirate informatique, la non-réponse a été assourdissante. Pourtant, ce piratage met en évidence les vulnérabilités importantes au sein des infrastructures d'interopérabilité critiques qui connectent DeFi, et plus important encore, celles qui permettent aux blockchains de communiquer.
Le calcul multipartite peut-il signifier une interopérabilité plus sûre ?
L'interopérabilité, ou dans ce contexte, la capacité à connecter des chaînes de blocs et des écosystèmes déconnectés, est le ciment qui maintient la finance décentralisée ensemble via une multitude de ponts, d'oracles, etc. Cependant, l'interopérabilité peut aussi signifier la vulnérabilité, comme ce fut le cas avec Wormhole, en particulier lorsque l'interopérabilité est chargée de superviser l'échange sécurisé de valeur entre deux systèmes.
L'idée d'exiger plusieurs parties ou preuves (comme des signatures) pour approuver certaines transactions n'est pas étrangère à la technologie blockchain mais une caractéristique assez courante de certains portefeuilles électroniques. L'idée de distribuer le pouvoir de signature à plusieurs parties diminue le risque d'un seul point de défaillance.
Pour les portefeuilles mutlisig, cela signifie décider qui seront les cosignataires et combien de cosignataires doivent signer une transaction. Le problème avec ce modèle est de changer les cosignataires et les autorisations, sans oublier que plusieurs signatures doivent être présentées simultanément, ce qui entraîne des demandes de disponibilité de la part des cosignataires pour chaque transaction.
Le calcul multipartite (MPC) peut aider à éviter ces complications, mais son application s'étend bien au-delà des portefeuilles et de la vérification des clés. MPC utilise des points de terminaison entièrement modifiables contenant une partie des clés secrètes mais pas leur intégralité. Ensemble, ces points de terminaison sont utilisés pour former un consensus, et un nombre minimum de points de terminaison est défini pour atteindre ce consensus sur une transaction.
Kurt Nielsen, président et cofondateur de Partisia blockchain, estime que MPC détient la clé pour libérer le véritable potentiel d'interopérabilité dans un cadre plus sûr et plus fiable. Nielsen note: «L'interopérabilité via des ponts de jetons présente un immense potentiel pour devenir un créateur de valeur principal dans l'écosystème de la blockchain. Cependant, comme nous l'avons vu dans l'exploit Wormhole, déplacer des jetons en dehors de leur modèle de sécurité établi pose des défis et des vulnérabilités importants. Notre réponse est des principes d'audit plus sophistiqués et éprouvés et des mesures de sécurité MPC à grande échelle.
Il explique en outre: «Premièrement, un Oracle qui expire régulièrement représente de manière efficace et transparente les valeurs des différentes chaînes de blocs, comme la comptabilité en partie double qui a fait ses preuves depuis la Medici Bank au 14ème siècle. Deuxièmement, les mesures de sécurité MPC à grande échelle évitent l'accumulation de risques financiers à travers les oracles ou les époques. Troisièmement, les nœuds exploitant l'Oracle à une époque donnée fournissent des garanties pour soutenir les valeurs transférées, et enfin, les déséquilibres objectifs sont compensés par un processus de litige décentralisé.
Partisia est impliquée dans des solutions MPC de qualité commerciale depuis 2008 et applique désormais son sens aigu aux applications basées sur la blockchain. Partisia Blockchain agit efficacement comme une couche d'interopérabilité en utilisant des calculs de preuve Zero-Knowledge. Les nœuds étant évalués et classés en fonction de leur score de confiance, les utilisateurs DeFi peuvent gagner une plus grande confiance dans la façon dont et qui déplace leur valeur entre les écosystèmes.
Bien qu'il s'agisse du plus grand incident de ce type en 2022 à ce jour, Wormhole sera probablement loin d'être le seul protocole, pont ou blockchain DeFi ciblé par les pirates au fil de l'année. Néanmoins, comme le montre Partisia, MPC se distingue comme une stratégie pour favoriser la communication entre les réseaux qui supervisent le transfert de données ou de valeur sans savoir exactement ce qui est transféré par qui et vers où.
Source : https://zycrypto.com/wormhole-exploit-underlines-case-for-greater-mpc-use-across-blockchain-oracles-bridges/