Les hacks de bridge font constamment la une des journaux. Maintenir sécurité, nous devons entretenir un sain sentiment de paranoïa, dit Jean Shutt des À travers le protocole.
Au cours de l'année écoulée, des attaques régulières, réussies et dommageables ont visé des ponts inter-chaînes. Ils ont abouti à massif quantités d'actifs volés.
Cette tendance révèle la nécessité d'un examen et d'une réflexion accrus axés sur la manière dont les ponts blockchain sont sécurisés et protégés.
Le plus récent gros titre a été l'exploit du pont Ronin d'Axie Infinity qui a généré plus de 600 millions de dollars en Ethereum et USDC volé par les attaquants.
L'exploit a eu lieu le 23 mars mais il a fallu plus d'une semaine pour que le vol soit détecté. Les développeurs de Ronin ont finalement révélé que l'attaquant avait utilisé des clés privées compromises pour de faux retraits et vidé les fonds du pont Ronin dans une paire de transactions.
Cet exploit est un vol dévastateur qui a des conséquences massives pour les propriétaires légitimes de ces actifs. Mais aussi, cela a des conséquences sur la crypto et DeFi l'industrie dans son ensemble. Surtout ceux qui se concentrent sur les protocoles de pont d'actifs et s'efforcent de renforcer la sécurité, d'instaurer la confiance et d'améliorer les fonctionnalités.
Il y a quelques leçons ici.
Ne fais confiance à personne, encore moins à toi-même
Lorsqu'il s'agit de la sécurité des ponts, ou de toute forme de sécurité de protocole, il est crucial d'avoir un système en place qui décentralise la confiance et la surveillance.
Pour ce faire, nous devons maintenir un sain sentiment de paranoïa. Cette paranoïa, associée à des systèmes de sécurité et à une expertise technique, se traduira par un système de surveillance de la sécurité robuste. Cela inclut des alertes qui feront sortir les bonnes personnes du lit au milieu de la nuit, si quelque chose tourne mal ou semble avoir mal tourné.
Nous devrions construire des systèmes qui n'exigent même pas que nous agissions comme dignes de confiance, si nos propres points d'accès étaient compromis. Vous pourriez considérer cela comme une précaution "Jekyll and Hyde", où vous construisez un système capable de résister à votre tentative de le casser si vous changez complètement de camp.
Hacks de pont : Avoir des redondances en place
Des systèmes de surveillance solides doivent combiner des bots conçus et des couches de contrôle à propulsion humaine. Tout ce qu'une équipe d'ingénieurs construit doit être développé en conjonction avec des robots qui effectuent une surveillance automatisée. Mais il ne suffit pas de compter sur ces bots. Les bots peuvent, et échouent.
Les services de surveillance tiers qui peuvent alerter une équipe d'ingénierie des problèmes, des violations ou des alertes constituent également une couche de sécurité précieuse.
Une couche supplémentaire importante de sécurité et de règlement des différends peut être développée avec un oracle optimiste (OO).
Par exemple, l'OO d'UMA permet de sécuriser De l'autre côté, un protocole de pont d'actifs qui incite les relais à avancer les transferts de fonds pour les utilisateurs.
Ces relais sont remboursés à partir d'un pool de liquidités dans les deux heures. Les transactions sont assurées à l'aide de l'OO, qui agit comme une couche de résolution des litiges. L'OO vérifie et valide tous les contrats entre l'utilisateur qui transfère les fonds et l'assureur percevant les frais.
L'OO fonctionne comme une « machine à vérité » et est alimenté par une communauté de personnes qui fournissent une vérification et une résolution des données dans le monde réel, dans les rares cas de litige.
Exercice, pratique et préparation
Les meilleurs systèmes de sécurité au monde seront toujours aux prises avec des attaques innovantes et stratégiques. Les attaquants ont montré leur capacité et leur volonté de rester en phase avec l'innovation. C'est une course aux armements.
C'est pourquoi il est crucial de tester correctement et vigoureusement vos protocoles de sécurité pour vous assurer qu'ils peuvent être fiables en cas de besoin.
Il y a peu de façons de le faire.
Envisagez d'avoir un point de rencontre de crise au sein de votre organisation. Pensez-y comme à un gros bouton rouge que quelqu'un - n'importe qui - peut appuyer. Il peut garantir que les bonnes personnes reçoivent l'alerte appropriée, même si c'est par précaution.
Bridge Hacks : Tests
La seule façon de s'assurer que le système fonctionne, cependant, est de le tester. C'est pourquoi avoir des exercices est crucial. Il est possible qu'un membre clé de l'équipe n'ait pas configuré correctement le système d'alerte ou qu'un certain déclencheur soit cassé. Avoir des exercices réguliers et inattendus est un excellent moyen de s'assurer que le système (et les membres de l'équipe) réagissent de la bonne manière, au bon moment.
Enfin, il est impératif de faire évoluer votre approche de la sécurité à mesure que le profil de risque de votre protocole change ou se développe.
Plus vous êtes grand, plus vous tomberez fort. Il est donc important de cultiver un état d'esprit de sécurité qui grandit à mesure que votre organisation ou votre communauté mûrit. Cet état d'esprit maintiendra ce sentiment sain de paranoïa et établira et maintiendra les protocoles qui le soutiennent.
A propos de l'auteure
Jean Shutt est ingénieur smart contract chez UMA et co-fondateur de la À travers le protocole, un pont inter-chaînes sécurisé et décentralisé. Il travaille sur les systèmes de crypto-monnaie et de messagerie cryptée depuis plus d'une décennie.
J'ai quelque chose à dire sur hacks de pont ou autre chose ? Laissez nous un message ou rejoignez la discussion dans notre Chaîne de télégramme. Vous pouvez également nous retrouver sur Tik Tok, Facebookou Twitter.
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action prise par le lecteur sur les informations présentes sur notre site Web est strictement à ses propres risques.
Source : https://beincrypto.com/bridge-hacks-prevent-them-by-trusting-nobody-not-even-yourself/