Les chasseurs de bogues de la blockchain occupent une place de choix aux Pwnie Awards de cette année

Les chercheurs ont diligemment incité les sociétés de crypto-monnaie et de blockchain à corriger leur sécurité – et il semble que certaines d'entre elles soient finalement reconnues pour leur travail.

Cette année, trois chercheurs sont en lice pour – une vitrine annuelle du meilleur et du pire de la sécurité de l'information. De petits poneys sont distribués aux pirates et aux chercheurs en sécurité les plus méritants.

Neha Narula, directrice du MIT Digital Currency Initiative et Ethan Heilman, chercheur à l’Université de Boston, ont été nominés pour "Best Cryptographic Attack". De plus, Bernard Mueller, ingénieur en sécurité chez ConsenSys, est également candidat à la «recherche la plus innovante» pour son travail sur la sécurisation des contrats intelligents Ethereum .

Il était apparemment possible de fabriquer des transactions IOTA quelques minutes ", selon Narula et Heilman. La paire a découvert une méthode permettant de voler des fonds directement dans les portefeuilles des utilisateurs. Ils attribuent la faille de sécurité directement à la mise en œuvre par IOTA de son algorithme de hachage.

La vulnérabilité a été découverte l'année dernière et IOTA l'a abordée dans une série de blogs . Alors que Narula et Heilman sont clairs pour affirmer que les vecteurs d'attaque exploitables ont été branchés, ils notent que la fonction de hachage défectueuse est toujours utilisée dans certaines parties de la plate-forme IOTA.

Préserver les contrats intelligents

Muller est nommé pour ses recherches approfondies sur la sécurité de la blockchain d'Ethereum. Son article intitulé Smashing Smart Contracts pour l'amusement et le profit réel présente un nouvel outil d'analyse de sécurité pour les contrats intelligents appelé Mythril.

apprendre beaucoup depuis 1996, "avec une myriade de vulnérabilités de sécurité découlant d’une dépendance avec les anciens langages de programmation lors de la création de contrats intelligents. Myrthil est la contribution de Muller à la sécurité des contrats intelligents, avec l’intention de supprimer les bogues pouvant mener à une perte d’argent.

Les recherches de Muller célèbrent également l’infrastructure de piratage moderne. Il note cependant que l’aube de l’informatique du monde d’Ethereum et ses préoccupations constantes en matière de sécurité rappellent étrangement l’internet du début.

Cette fois-ci, il ya une différence cruciale. Au début, les programmes de prime de bogue n'existaient pas et les vulnérabilités du jour zéro ont été jetées sur les listes de diffusion uniquement pour les soi-disant lulz. fait gagner le respect des autres chercheurs en sécurité. Hack un contrat intelligent, cependant, et vous voyez de l'argent réel .

Les prix sont prévus pour plus tard aujourd'hui, donc nous mettrons à jour cette pièce avec le classement officiel. La liste complète des nominations peut être trouvée ici .

Publié le 8 août 2018 – 16:35 UTC