[ad_1]
Les contrats intelligents sont des protocoles écrits dans un langage de programmation comme Solidity et déployés sur la blockchain Ethereum.
Ces programmes auto-exécutables sont utilisés pour diverses applications, telles que la création de portefeuilles multi-signatures pour les crypto-monnaies ou la fourniture de services d’entiercement sans confiance pour les marchés peer-to-peer.
Cependant, les contrats intelligents peuvent également contenir des bogues que les attaquants peuvent exploiter pour voler des fonds aux utilisateurs ou même planter des chaînes de blocs entières (par exemple, le piratage DAO).
Le DAO : exploiter un bug dans une organisation décentralisée et autonome
Le DAO était une organisation autonome décentralisée qui a levé 150 millions de dollars en Ether (la crypto-monnaie de la plateforme Ethereum). Cela en fait l’une des campagnes de financement participatif les plus réussies de l’histoire. Cependant, en juin 2016, le DAO a été piraté et 50 millions de dollars d’Ether ont été volés par une partie inconnue qui a exploité un bogue dans le code.
Après cet incident, les développeurs d’Ethereum ont créé une mise à jour appelée « The DAO hard fork ». Le hard fork permettait aux utilisateurs de récupérer leurs fonds avant qu’ils ne soient transférés sur un autre compte. Mais malheureusement, cela a abouti à deux versions différentes d’Ethereum : Ethereum Classic et Ethereum (ETH).
Vulnérabilité multi-signatures de parité : une faille de portefeuille a drainé 30 millions de dollars
Un portefeuille multi-signatures est un type particulier de portefeuille qui nécessite que plusieurs utilisateurs signent une transaction avant qu’elle puisse être traitée. Cela empêche une personne de dépenser tout l’argent du portefeuille. Au lieu de cela, il faut qu’une majorité d’utilisateurs soient d’accord. Dans ce cas, cependant, un bogue dans l’implémentation multi-signatures a permis au compte d’un utilisateur de drainer les fonds de tous les autres.
Pour que cet exploit fonctionne, deux choses devaient se produire.
Tout d’abord, quelqu’un devait créer un contrat intelligent Ethereum qui créait de nouveaux jetons et les renvoyait sur son compte.
Deuxièmement, ils devaient s’assurer que personne ne pouvait les empêcher de le faire en enfermant leurs fonds dans ce qu’on appelle une « trappe d’évacuation ».
Une fois que le coupable s’est occupé de ces deux étapes, d’autres personnes ont commencé à envoyer de l’argent dans ce nouveau contrat intelligent. Beaucoup espéraient du profit mais n’ont rien reçu car le créateur avait déjà vidé tous ses fonds sur son compte !
Cet exploit a drainé plus de 30 millions de dollars d’Ether (ETH) de divers portefeuilles de l’écosystème d’Ethereum. Cela inclut le portefeuille multi-signatures de Parity Technologies.
Piratage de Bancor : 23,5 millions de dollars volés en exploitant les failles de sécurité des contrats intelligents
En juin 2018, un pirate informatique a exploité une faille de sécurité des contrats intelligents pour voler 23,5 millions de dollars à Bancor. Le projet blockchain vise à fournir des liquidités pour les monnaies numériques. L’exploit était dans le contrat intelligent lui-même. Son but était de créer et de conserver des jetons avec des valeurs spécifiques afin que les utilisateurs puissent les acheter et les vendre sur la plateforme. Il a également permis aux utilisateurs de convertir les jetons en d’autres jetons via un processus «en chaîne».
Il s’est avéré que même si ce processus était suffisamment sécurisé au début, il n’était pas très bien programmé. Lorsqu’un utilisateur effectuait des actions spécifiques via son compte (comme la vente de son jeton), cela déclenchait une autre action (comme la création automatique de nouveaux jetons) sans vérifier si ces actions étaient valides ou non. Cela a créé une opportunité pour les pirates.
Plus de vulnérabilités dans les contrats intelligents que jamais auparavant – rapport EY
Selon un rapport d’Ernst & Young (EY), le nombre de vulnérabilités des contrats intelligents augmente rapidement.
Le rapport « 2019 Global Blockchain Survey » de la société a révélé que le nombre de vulnérabilités des contrats intelligents est passé de 8,7 % en 2018 à 12,9 %. EY a également constaté que « le délai médian pour corriger une erreur était inférieur à six jours. Cependant, près de la moitié ont pris plus d’une semaine, et environ 2 % ont pris plus de trois mois. » Toutes ces périodes sont inacceptables.
Les contrats intelligents sont loin d’être parfaits
Les coupables peuvent les exploiter. Il y a eu des cas où des pirates ont utilisé des contrats intelligents à des fins malveillantes. Cela inclut le vol d’argent de personnes ou d’entreprises.
Par exemple, quelqu’un a utilisé un contrat intelligent basé sur Ethereum pour voler 25 millions de dollars en Ether (la crypto-monnaie d’Ethereum). Le pirate a exploité un bogue dans le système et en a profité en envoyant des jetons via plusieurs comptes. Ce processus s’est poursuivi jusqu’à ce qu’ils atteignent leur adresse de destination. Ensuite, cela a permis au coupable de voler tous les fonds stockés dans le « portefeuille » sans avoir besoin d’autorisations ou d’autorisations spéciales.
Cependant, les contrats intelligents ne sont pas toujours utilisés à des fins malveillantes. Ils sont aussi utilisés pour de bonnes choses !
Vous pouvez les utiliser si vous voulez l’approbation de quelqu’un d’autre avant d’acheter quelque chose de cher en ligne, comme une voiture ou un appareil électroménager. Ces articles coûtent généralement des milliers de dollars. Donc, faire signer quelqu’un d’autre aiderait à protéger les deux parties impliquées.
De plus, cela pourrait garantir que chaque partie obtienne ce pour quoi elle a payé, afin que personne n’ait de regrets après avoir acheté quelque chose de cher comme celui-ci en ligne !
Conclusion
Nous pouvons voir le potentiel des contrats intelligents, mais beaucoup de gens se méfient encore de leur utilisation.
C’est parce qu’il y a des bogues dans les contrats intelligents que l’on peut exploiter. Les utilisateurs perdront de l’argent à moins que quelqu’un ne trouve un moyen de réparer les choses avant qu’il ne soit trop tard.
De nombreuses entreprises travaillent à l’amélioration de leurs mesures de sécurité, que ce soit en améliorant les tests ou en supprimant complètement l’intervention humaine de processus spécifiques.
CryptoMode produit un contenu de haute qualité pour les sociétés de crypto-monnaie. À ce jour, nous avons assuré la visibilité de la marque de dizaines d’entreprises, et vous pouvez être l’une d’entre elles. Tous nos clients apprécient notre rapport qualité/prix. Contactez nous si vous avez des questions: [email protected]
Aucune des informations sur ce site Web n’est un investissement ou un conseil financier. CryptoMode n’est pas responsable des pertes financières subies en agissant sur les informations fournies sur ce site Web par ses auteurs ou clients. Aucun avis ne doit être pris au pied de la lettre, effectuez toujours vos recherches avant de prendre des engagements financiers.
[ad_2]
Source link
