5 menaces pour les contrats intelligents Ethereum

Temps de lecture :5 Minutes, 43 Secondes

David Tarditi, vice-président de l’ingénierie chez CertiK, une société dédiée à la sécurité de la blockchain, a expliqué les principales menaces auxquelles sont confrontés les contrats intelligents sur Ethereum et d’autres blockchains. De plus, il a fourni un bref résumé sur la façon de les prévenir et de les traiter, lors de sa présentation à la conférence Ethereum Rio 2022, hier 15 mars.

La prolifération des protocoles de finance décentralisée (DeFi) a conduit ces plateformes à être la cible de nombreuses attaques de pirates au cours des deux dernières années. Comme Tarditi l’a expliqué dans son discours, plus de 1,3 milliard de dollars ont été perdus à la suite de ces piratages en 2021.

Parmi les cas les plus importants de hacks DeFi l’année dernière, le spécialiste a cité ce qui s’est passé avec Uranium, avec des pertes de 50 millions de dollars ; Composé, avec un solde négatif de 90 millions USD de récompenses mal distribuées au mois d’octobre ; et bZx, qui a perdu 55 millions de dollars en novembre suite à une attaque de phishing par e-mail et a également subi des attaques répétées en 2020.

Réduisez vos frais d’échanges
Les frais d’échanges peuvent représenter plusieurs centaines de dollars chaque année. Pour cette raison, les bons tradeurs cherchent à les réduire car ils peuvent impacter fortement leurs résultats. Vous aussi vous pouvez le faire grâce aux liens ci-dessous :

Publicité

Toujours en 2022, ces événements continuent de se produire, comme cela est arrivé aux protocoles Qubit, Wormhole et Meter.io. CriptoNoticias a signalé ces cas assez fréquemment depuis la mi-2020.

À ce sujet, l’orateur a expliqué que son entreprise a réalisé plus de 1 400 audits de contrats intelligents au cours des six derniers mois, ce qui a donné un total de 16 400 problèmes dont 5 300 de nature critique pour la sécurité du protocole.

Les principaux risques des contrats intelligents sur Ethereum

Pour approfondir cette question, David Tarditi a répertorié cinq vulnérabilités auxquelles les protocoles de financement décentralisés peuvent être confrontés. De même, il a expliqué comment renforcer la sécurité pour réduire le risque d’en souffrir.

1. Centralisation

C’est de loin le principal problème constaté par Tarditi et son équipe dans les contrats intelligents audités. Ils ont relevé pas moins de 3 000 cas de centralisation dans 1 400 audits. C’est-à-dire plus de 2 erreurs ou échecs par contrat.

La centralisation des contrats intelligents dans Ethereum se produit lorsqu’il existe un « propriétaire » ou une entité centralisée qui peut modifier les soldes, distribuer des jetons, retirer des fonds, mettre à jour le contrat ou modifier ses paramètres à volonté, entre autres fonctions sensibles, a expliqué l’exposant.

Précisément, l’essence de ces contrats et DeFi, comme son nom l’indique, est de supprimer l’intermédiaire. En d’autres termes, le fonctionnement du protocole doit être automatisé et régi par le code lui-même, sans possibilité pour la société développeur ou toute autre personne de le modifier à sa convenance et selon ses critères. Cette centralisation peut être encore plus dangereuse lorsqu’un pirate prend le contrôle.

Selon Tardini, certaines façons d’éviter cette situation incluent la suppression de ce rôle privilégié du code, la sécurisation des clés privées via un portefeuille multisignature ou un verrouillage horaire, et l’utilisation d’une organisation autonome décentralisée (DAO) pour la prise de décision communautaire.

David Tarditi a donné une conférence virtuelle sur les contrats intelligents dans le cadre d’Ethereum Rio 2022. Source : Twitch Ethereum Rio.

2. Problèmes de logique et exactitude

Les défauts de logique et d’exactitude dans les contrats intelligents sont liés à les erreurs qui empêchent son fonctionnement prévu. Un exemple de ceci serait un mauvais calcul dans les récompenses pour le jalonnement d’une crypto-monnaie ou le manque de mise à jour de certaines variables. Les erreurs de programmation dans le code sont également incluses ici.

Parmi les cas analysés, 1 209 problèmes de ce style se sont posés. Les épisodes d’Uranium et de Composé mentionnés ci-dessus pourraient être encadrés ici. Selon Tarditi, ceux-ci étaient dus à « l’omission d’un seul caractère dans le code » qui a conduit à un dysfonctionnement du protocole que les pirates ont pu exploiter.

Que faire pour éviter ces pannes ? L’essentiel est d’être très précis et méticuleux avec les documents de conception et le livre blanc, mener une revue de code et développer des tests pour détecter ces problèmes éventuels.

3. Complications de sevrage

La troisième menace pour les contrats intelligents Ethereum selon David Tarditi est les échecs ou les complications avec les retraits. Il s’agit d’un type de vulnérabilité beaucoup moins présent dans les cas étudiés ; elle n’a été détectée que dans 142 contrats, soit près de 10 % d’échecs de logique et de correction.

Un exemple dans cette troisième catégorie serait le blocage des fonds dans un contrat intelligent, sans possibilité de les retirer par l’utilisateur. C’est quelque chose qui peut être corrigé en suivant les conseils du point précédent lors de la préparation, du test et de la correction du code du protocole.

4. Contrôle d’accès

Les problèmes d’accès sont la quatrième menace répertoriée par cet expert. Ils l’ont détecté dans 120 contrats intelligents lors de leurs audits.

Semblable au premier élément de cette liste, la vulnérabilité se produit lorsque n’importe qui peut exécuter une opération sensible du contrat même s’il ne devrait pas être en mesure de le faire. Dans ce cas, cela ne serait pas dû au fait que cet utilisateur a un rôle privilégié, mais plutôt à une faille dans le code qui lui permet d’acquérir ce pouvoir.

Encore une fois, c’est un problème peut être détecté à partir des bonnes pratiques déjà mentionné ci-dessus. À cet égard, Tarditi a souligné que ces processus doivent être répétés de manière exhaustive chaque fois qu’une modification est apportée au code d’un contrat intelligent.

5. Absence de limites

Enfin, le problème de l’absence de limites pourrait survenir dans un contrat intelligent. Un cas potentiel serait l’établissement de tarifs; Si ceux-ci ne sont pas plafonnés et deviennent trop élevés, une grande partie de la valeur bloquée dans le contrat pourrait être perdue lors de l’exécution d’un règlement ou de toute autre fonction.

Comme le rapporte ce média, en 2021, les tarifs Ethereum avaient des prix très élevés en raison de la congestion subie par le réseau.

Le problème de l’absence de limites dans les contrats intelligents s’est posé dans une moindre mesure selon l’enquête Tarditi, puisque 96 failles de ce style ont été détectées.

Les contrats intelligents Ethereum, en quête d’optimisation

S’il y a quelque chose qui distingue le réseau Ethereum, c’est la sécurité et l’évolutivité qu’il offre pour fonctionner avec des outils tels que les contrats intelligents. C’est ce qui différencie le plus Bitcoin et ce qui le sépare de ses principaux concurrents, qui ne l’ont jamais éclipsé.

Cependant, il est clair qu’il y a encore des choses à améliorer, et des experts comme David Tarditi y travaillent. À partir de la connaissance des dangers et de l’application des recommandations précédentes, un environnement plus sécurisé peut être généré qui atténue les attaques et contribue à la croissance de l’adoption de ce réseau.

Voir l’article original sur www.criptonoticias.com