Les ponts Blockchain permettent aux utilisateurs de la finance décentralisée (DeFi) d'utiliser les mêmes jetons sur plusieurs blockchains. Par exemple, un commerçant peut utiliser USD Coin (USDC) sur les blockchains Ethereum ou Solana pour interagir avec les applications décentralisées (DApps) sur ces réseaux.
Bien que ces protocoles puissent être pratiques pour les utilisateurs DeFi, ils risquent d'être exploités par des acteurs malveillants. Par exemple, l'année dernière, le pont Wormhole - un pont cryptographique inter-chaînes populaire entre Solana, Ethereum, Avalanche et d'autres - a été piraté, avec des attaquants voler plus de 321 millions de dollars valeur d'Ethereum enveloppé (wETH), le plus grand hack de l'histoire de DeFi à l'époque.
Un peu plus d'un mois plus tard, le 23 mars 2022, le pont du réseau Ronin - la sidechain basée sur Ethereum d'Axie Infinity - a été piraté pour plus de 620 millions de dollars, et le 2 août, le pont Nomad a été piraté pour plus de 190 millions de dollars. Au total, plus 2.5 milliards de dollars ont été volés des ponts trans-chaînes entre 2020 et 2022.
Les ponts sans confiance, connus sous le nom de ponts non dépositaires ou décentralisés, pourraient améliorer la sécurité des utilisateurs des transferts inter-chaînes.
Qu'est-ce qu'un pont blockchain ?
Un pont inter-chaînes est une technologie qui permet d'envoyer des actifs ou des données d'un réseau blockchain à un autre. Ces ponts permettent à deux ou plusieurs réseaux blockchain distincts de se parler et de partager des informations. L'interopérabilité offerte par les ponts inter-chaînes permet de déplacer des actifs d'un réseau à un autre.
Récent: SEC contre Kraken : une salve ponctuelle ou d'ouverture dans un assaut contre la crypto ?
La plupart des technologies de pontage utilisent des contrats intelligents sur les deux chaînes de blocs pour rendre possibles les transactions inter-chaînes.
Les ponts inter-chaînes peuvent déplacer de nombreux actifs, tels que des crypto-monnaies, des jetons numériques et d'autres données. L'utilisation de ces ponts facilite la collaboration entre différents réseaux de chaînes de blocs et permet aux utilisateurs de tirer parti des caractéristiques et des avantages uniques de chaque réseau.
Ponts de confiance vs ponts sans confiance
En ce qui concerne les protocoles de pontage, il existe deux types principaux, les ponts centralisés (de confiance) et les ponts décentralisés (sans confiance). Les ponts de confiance sont gérés par des entités centralisées qui prennent la garde des jetons une fois qu'ils sont transférés au pont. Un risque majeur avec les ponts de garde est le point de défaillance unique (le dépositaire centralisé), ce qui en fait une cible plus facile pour les tentatives de piratage.
Au lieu d'utiliser des dépositaires centralisés pour transférer des jetons entre les chaînes de blocs, les ponts sans confiance utilisent des contrats intelligents pour terminer le processus.
Les contrats intelligents sont des programmes automatisés exécutant certaines actions une fois les conditions remplies. Pour cette raison, les ponts sans confiance sont considérés comme une alternative plus sûre puisque chaque utilisateur conserve la garde de ses jetons pendant le processus de transfert.
Cependant, les ponts sans confiance peuvent toujours être compromis si le code du contrat intelligent présente des vulnérabilités non identifiées et corrigées par l'équipe de développement.
Pascal Berrang, chercheur en blockchain et développeur principal chez Nimiq, un protocole de paiement basé sur la blockchain, a déclaré à Cointelegraph : "En général, l'utilisation de ponts inter-chaînes introduit des risques supplémentaires par rapport à l'utilisation d'une seule blockchain."
« Cela augmente la surface d'attaque grâce aux chaînes de blocs, aux dépositaires potentiels et aux contrats intelligents. Il existe différents types de ponts inter-chaînes, qui s'accompagnent de différents compromis en termes de risques. Il a continué:
« Les ponts inter-chaînes impliquent naturellement deux chaînes de blocs ou plus, utilisant généralement des mécanismes de sécurité distincts. Par conséquent, la sécurité des actifs pontés dépend de la blockchain la plus faible impliquée dans le pont. Par exemple, si l'une des chaînes de blocs est attaquée, cela permettrait d'inverser un swap inter-chaînes sur l'une des chaînes mais pas sur l'autre, ce qui entraînerait un déséquilibre des actifs.
Berrang a également souligné les vulnérabilités liées aux actifs pontés verrouillés dans le pont. « Les fonds sont généralement stockés ou verrouillés dans un endroit central, constituant un point de défaillance unique. Selon le type de pont, ces fonds sont soumis à des risques différents : dans un pont basé sur des contrats intelligents, les bogues dans ces contrats peuvent rendre les actifs pontés sans valeur », a déclaré Berrang.
"Un exemple pourrait être un bogue qui permet la frappe infinie de nouveaux jetons pontés. Les ponts exploités par des dépositaires de confiance sont soumis à des risques de contrepartie si les dépositaires se comportent mal ou si leurs clés sont volées », a-t-il ajouté.
Jeremy Musighi, responsable de la croissance chez Balancer, un market maker automatisé, estime que des risques supplémentaires résident dans la complexité des ponts blockchain, déclarant à Cointelegraph que «les ponts inter-chaînes comportent plusieurs risques importants. La sécurité est l'un des plus grands risques; en raison de la complexité et de la difficulté de la mise en œuvre de ponts inter-chaînes, ils sont sujets aux erreurs et aux vulnérabilités que les acteurs malveillants peuvent exploiter pour voler des actifs ou effectuer d'autres actions malveillantes. »
Musighi a également noté que les problèmes d'évolutivité posent des risques supplémentaires pour le processus de pontage, déclarant : "Un autre risque est l'évolutivité, car les ponts inter-chaînes peuvent ne pas être en mesure de gérer de grandes quantités de trafic, ce qui entraîne des retards et une augmentation des coûts pour les utilisateurs".
Protéger les ponts contre les exploits
Les développeurs peuvent empêcher le piratage des ponts inter-chaînes en mettant en œuvre plusieurs mesures de sécurité qui aident à garantir la confidentialité, l'intégrité et l'authenticité des actifs transférés.
L'une des mesures les plus importantes consiste à garantir que le code de contrat intelligent qui constitue le cœur des ponts inter-chaînes est sécurisé et exempt de vulnérabilités. Cela peut être réalisé grâce à des audits de sécurité réguliers, des programmes de primes de bogues et des révisions de code, qui aident à identifier et à résoudre les problèmes de sécurité potentiels.
Une autre mesure que les développeurs peuvent prendre consiste à utiliser des algorithmes cryptographiques, tels que des signatures numériques et des fonctions de hachage, pour sécuriser le transfert d'actifs et d'informations entre différents réseaux de blockchain. Cela permet de garantir que les actifs transférés sont protégés et que tout acteur malveillant ne peut pas interférer avec le processus de transfert.
De plus, une surveillance régulière du réseau est essentielle pour détecter les activités suspectes et prévenir les attaques. En surveillant le réseau, les développeurs peuvent détecter tous les problèmes de sécurité et prendre les mesures appropriées pour les résoudre avant qu'ils ne causent des dommages.
Enfin, le développement et le déploiement de ponts inter-chaînes sécurisés nécessitent de suivre les meilleures pratiques, telles que les pratiques de codage sécurisé, les tests et le débogage, et les méthodes de déploiement sécurisé. Ce faisant, les développeurs peuvent contribuer à assurer la sécurité et la stabilité des ponts inter-chaînes.
Empêcher les ponts inter-chaînes d'être piratés nécessite une combinaison de code sécurisé, d'algorithmes cryptographiques, de mécanismes de consensus robustes, de surveillance du réseau et de bonnes pratiques.
Les ponts sans confiance sont-ils une meilleure solution ?
Les ponts sans confiance peuvent fournir une solution plus sûre pour relier les actifs entre les chaînes de blocs uniquement si le code du contrat intelligent a été entièrement audité pour s'assurer qu'aucune vulnérabilité n'est présente.
Le principal avantage en matière de sécurité des ponts sans confiance est que les utilisateurs conservent la garde de leurs jetons pendant tout le processus, les contrats intelligents prenant en charge le processus de transfert. De plus, l'absence d'autorité centrale pour verrouiller les jetons rend les ponts plus difficiles à attaquer car il n'y a pas de point de défaillance unique.
Musighi a déclaré à Cointelegraph: «Je considère généralement que les ponts sans confiance sont plus sûrs que les ponts de confiance, car ils fonctionnent de manière transparente et s'appuient sur un réseau décentralisé pour valider et faciliter le transfert d'actifs entre les chaînes, alors que les ponts de confiance reposent sur un tiers centralisé, ce qui signifie là est un point de défaillance unique et une surface d'attaque concentrée que les pirates peuvent cibler. »
« Les ponts sans confiance sont plus faciles à auditer et présentent l'avantage évident de minimiser la confiance. Étant donné que de nombreux ponts centralisés exploitent également des contrats intelligents (plus simples), les ponts sans confiance peuvent être considérés comme une option moins risquée mais pas sans risque », a déclaré Berrang.
Au fur et à mesure que l'espace financier décentralisé mûrit, les développeurs doivent prendre des mesures supplémentaires pour sécuriser les ponts inter-chaînes. Cependant, à mesure que les utilisateurs de crypto deviennent plus intéressés par l'auto-garde et la décentralisation, les ponts sans confiance peuvent gagner en popularité.
Source : https://cointelegraph.com/news/defi-security-how-trustless-bridges-can-help-protect-users