Un informaticien qui recherche des failles coûteuses dans le code crypté

Avant certains des développements les plus explosifs à affecter l'industrie de la cryptographie l'année dernière, au printemps 2022, un NFT L'artiste du nom de Micah Johnson a entrepris de tenir une nouvelle vente aux enchères de ses dessins. Johnson est bien connu dans la communauté crypto pour ses représentations du jeune enfant noir Aku, qui aspire à devenir astronaute. Pour la dernière version, les collectionneurs ont formé une ligne. Ils ont dépensé 34 millions de dollars sur les NFT le jour de la vente aux enchères.

Ensuite, selon votre point de vue, la tragédie (ou la comédie) a frappé. Pour gérer le crypto-monnaie aux enchères, l'équipe logicielle de Johnson a créé une programmation de "contrat intelligent", mais celle-ci présentait un grave défaut. Les ventes de Johnson ont totalisé 34 millions de dollars, et elles ont toutes été sécurisées sur le Ethereum chaîne de blocs. Johnson n'a pas été en mesure de retirer l'argent ou de rembourser ceux qui avaient placé des offres sur les NFT mais ont perdu leurs enchères. Comme on dit, la monnaie virtuelle était «verrouillée sur la chaîne», gelée et inaccessible.

Johnson aurait peut-être regretté de ne pas avoir embauché Ronghui Gu.

Gu est l'un des cofondateurs de CertiK, le plus grand auditeur de contrats intelligents dans le monde volatil et erratique des crypto-monnaies et du Web3. Gu, un professeur d'informatique amical et sortant à l'Université de Columbia, supervise un groupe de plus de 250 personnes qui examinent le code cryptographique pour vérifier les erreurs.

Le travail de CertiK ne vous empêchera pas de perdre de l'argent en cas de plantage d'une crypto-monnaie. Cela n'empêchera pas non plus un échange de crypto-monnaie d'utiliser votre argent à mauvais escient. Cependant, il pourrait être en mesure d'empêcher une faille logicielle de causer des dommages irréparables. Certains des plus grands noms de l'industrie de la crypto-monnaie, tels que le Bored Ape Yacht Club et le Ronin Network, qui gère une blockchain utilisée dans les jeux, font partie de la clientèle de l'entreprise. Après avoir perdu des centaines de millions de dollars, les clients se tournent parfois vers Gu dans l'espoir qu'il puisse empêcher que cela ne se reproduise.

Gu rit et déclare,

C'est un monde vraiment bizarre.

La perfection est le seul moyen

Contrairement aux logiciels conventionnels, le code cryptographique est beaucoup moins indulgent. Alors que les programmeurs de la Silicon Valley s'efforcent généralement de rendre leurs systèmes aussi exempts de bogues que possible avant leur lancement, le code peut être modifié si un problème ou une faille est découvert ultérieurement.

De nombreuses initiatives de cryptographie rendent impossible de le faire. Des contrats intelligents (code informatique qui contrôle les transactions) sont utilisés pour les exécuter. (Par exemple, si vous vouliez donner à un artiste 1 ETH en échange d'un NFT, un contrat intelligent pourrait être programmé pour vous envoyer le jeton NFT dès que l'argent a atteint le portefeuille de l'artiste.) Le problème est que vous ne pouvez pas modifier le smart -code de contrat après sa mise en ligne sur une blockchain. Le but des blockchains est que vous ne pouvez pas modifier quoi que ce soit qui leur a été écrit, donc si vous trouvez une erreur, il est trop tard. Le code publié sur une blockchain est également accessible au public, ce qui facilite l'examen et la recherche de failles à exploiter par les pirates informatiques.

Il existe un nombre absurde de hacks, et ils sont incroyablement rentables. Plus de 320 millions de dollars de crypto-monnaie ont été volés sur le réseau Wormhole au début de l'année. Le réseau Ronin a ensuite subi une perte cryptographique de plus de 600 millions de dollars.

Gu secoue la tête, apparemment sous le choc, et s'exclame: "Le hack le plus cher de l'histoire." Bien que les pirates informatiques mangent Web3, ils prétendent que Web3 mange le monde.

Ces dernières années ont vu l'émergence d'une industrie florissante d'auditeurs, CertiK de Gu étant le plus important : l'entreprise, évaluée à 2 milliards de dollars, affirme avoir réalisé 70 % de tous les audits de contrats intelligents. De plus, il exploite un système qui assure le suivi des contrats intelligents et peut identifier instantanément tout piratage.

Pas très terrible pour quelqu'un qui est entré sur le terrain à l'envers. Gu n'a pas commencé avec la cryptographie; au lieu de cela, il a exploré des techniques pour concevoir un code qui agit d'une manière qui peut être prédite théoriquement pour son doctorat en logiciel éprouvé et vérifiable. Cependant, ce sujet s'est avéré extrêmement utile dans le monde difficile des contrats intelligents ; en 2018, il a cofondé CertiK avec son directeur de thèse. Gu vit maintenant à la fois dans le monde académique et dans le monde de la cryptographie. Il enseigne toujours des cours à Columbia sur les compilateurs et la vérification formelle des logiciels système, et gère plusieurs étudiants diplômés (dont l'un fait des recherches sur les compilateurs pour l'informatique quantique) - tout en se rendant également aux événements de Davos et de Morgan Stanley, vêtu de sa chemise noire habituelle et veste noire alors qu'il tente de convaincre les gros bonnets de la crypto et de la finance de prendre au sérieux les hacks de la blockchain.

Les effondrement du FTX l'échange en novembre n'était que le coup le plus récent; la crypto-monnaie est tristement célèbre pour avoir connu des cycles de boom-bust. Gu, cependant, est convaincu qu'il continuera à être occupé pendant un certain temps. Il affirme que des entreprises établies comme les banques et "un grand moteur de recherche" commencent à introduire leurs propres solutions de blockchain et embauchent CertiK pour garder tout sous contrôle. Les chaînes de blocs attireront de plus en plus de pirates informatiques, y compris des acteurs des États-nations, si les entreprises établies commencent à y diffuser davantage de code. Il prétend que

Les menaces auxquelles nous sommes confrontés sont de plus en plus dures.

Services Connexes

FightOut (FGHT) – Déplacez-vous pour gagner dans le métaverse

• CertiK audité et CoinSniper KYC vérifié
• Prévente de stade précoce en direct maintenant
• Gagnez de la crypto gratuite et atteignez vos objectifs de remise en forme
• Projet LBank Labs
• En partenariat avec Transak, Block Media
• Récompenses et bonus de jalonnement