Smart hacks contrat coûtent des millions – cette entreprise veut le réparer

En novembre dernier, un utilisateur a accidentellement gelé environ 514 000 ETH (soit environ 155 millions de dollars) dans Parity, un populaire portefeuille Ethereum . Le coupable était un bug dans le logiciel du portefeuille, que l'utilisateur en question a accidentellement déclenché.

Ce n'était pas le premier incident sur le portefeuille Parité. Quelques mois plus tôt, un autre bug dans le logiciel de Parity a permis aux pirates de s'en tirer avec 150 000 ETH (environ 30 millions de dollars) . Parity n'est pas la seule application Ethereum à avoir souffert de failles de contrat intelligentes.

En 2016, en le fameux DAO hack les pirates s'en tirent avec 3,6 millions d'ETH, soit 15% de tous les Ether en circulation à l'époque. L'incident a causé une faille dans la communauté Ethereum et a abouti à une fourchette dure, créant deux versions de la célèbre cryptocurrency.

Comme beaucoup d'autres hacks qui se sont produits depuis le lancement d'Ethereum en 2015, ces incidents étaient liés à des contrats intelligents. fonctionne sur la blockchain Ethereum et permet la création d'applications décentralisées (dApps). Les contrats intelligents sont une composante très importante de l'industrie de la chaîne de blocs, et malgré ces hacks, leur utilisation augmente. Mais ils constituent également une cible très attrayante pour les pirates et, à moins de créer des processus d'audit intelligents pour développer des contrats intelligents plus solides, des incidents plus coûteux se profilent à l'horizon.

La solution pourrait être de déployer des contrats encore plus intelligents

Pourquoi la sécurité des contrats intelligents est-elle si difficile?

Un contrat intelligent est du code, comme n'importe quel autre logiciel qui fonctionne sur des ordinateurs. Cependant, quelques facteurs rendent les contrats intelligents plus sensibles du point de vue de la sécurité.

Tout d'abord, comme les transactions sur la blockchain, les contrats intelligents sont immuables. Une fois que les développeurs ont déployé des contrats intelligents sur la chaîne de blocs, ils ne peuvent y apporter aucune modification. Le côté positif est qu'ils ne peuvent pas être falsifiés. Mais le compromis est que tous les bogues dans le code restent permanents aussi. Il existe des solutions pour corriger les bugs dans les contrats intelligents, mais ils sont maladroits et difficiles à adopter.

Deuxièmement, les contrats intelligents sont directement liés aux paiements et peuvent contenir des millions de dollars de devises numériques. Il y a une nette différence entre un bug logiciel qui donne aux hackers accès à vos photos de famille et un autre qui leur donne le contrôle de votre fortune numérique.

Troisièmement, les contrats intelligents sont encore une nouvelle pratique, même pas dix ans. Nous n'avons toujours pas développé les meilleures pratiques de codage et les meilleurs cycles de développement adaptés aux applications décentralisées.

Cela rend l'audit de sécurité des contrats intelligent d'une importance primordiale parce que, tout en développant des logiciels traditionnels implique des cycles d'écriture-libération-correction continus, avec des contrats intelligents, vous devez le faire correctement la première fois –

Vérification des contrats intelligents

Une poignée d'entreprises se sont mobilisées pour fournir des services d'audit pour les contrats intelligents, réviser le code et fournir des commentaires sur sa qualité et sa fiabilité. Sécurité. Ceci est très similaire aux pratiques de sécurité qui existent dans l'industrie du logiciel traditionnel.

Cependant, les services d'audit des contrats intelligents coûtent beaucoup, beaucoup plus que ce que les startups de blockchain bootstrap peuvent se permettre. Un autre problème est que les investisseurs et les utilisateurs qui placeront de l'argent dans ces contrats intelligents à l'avenir ne peuvent pas vérifier le processus d'audit. Cela va à l'encontre des normes établies par la blockchain, qui établit la confiance en rendant tout visible pour tout le monde.

Une alternative à la méthode de vérification de code de facto consiste à utiliser des contrats blockchain et smart pour créer un processus d'audit transparent et vérifiable, où toutes les parties concernées ont un intérêt à créer des contrats intelligents sécurisés et fiables. C'est l'approche que Solidified une plateforme d'audit leader pour les contrats intelligents, utilise pour aider les développeurs à éviter de devenir la prochaine parité, ou DAO, PoWHCoin . est une société qui a une expérience avérée dans l'audit et la sécurisation de contrats intelligents de plusieurs projets clés d'Ethereum dont Gnosis et Polymath, et qui se prépare à lancer un marché décentralisé de prédiction de bogues qui permettra de vérifier la sécurité des contrats intelligents. L'ingéniosité des marchés de prédiction de bogues est qu'ils s'assurent que toutes les parties impliquées sont récompensées – ou pénalisées – pour la qualité de leur travail ou son absence.

Avec Solidified, les développeurs peuvent placer des demandes d'audit pour leurs contrats intelligents. Ensuite, les réviseurs de code Solidified, un réseau de plus de 200 experts de Solidity, peuvent présenter leurs termes pour examiner le code et la prime qu'ils s'attendent à recevoir. Une fois que le développeur et l'auditeur sont d'accord sur les termes, un contrat intelligent est créé.

Les auditeurs passent ensuite en revue le code et publient leurs conclusions sur les problèmes et les bogues qu'ils trouvent sur le code et le développeur les corrige. Mais avant que les auditeurs puissent réclamer leur prime, le contrat intelligent fixe est mis en place pour une prime de bug. Au cours de ce processus, un vaste réseau d'auditeurs aura l'occasion d'examiner le code. S'ils trouvent de nouveaux bogues dans le code, ils réclament une part de la prime de l'auditeur original. À la fin de la période de bogue, le contrat intelligent de la demande d'audit distribue les jetons jalonnés parmi les auditeurs concernés. Le mécanisme de crowdsourcing des récompenses croisées et de contre-vérification assure la plus haute qualité de l'audit.

Bug Prediction Market

Les audits de code et les bogues bug ne sont pas nouveaux. En fait, certaines des plus grandes entreprises technologiques et agences gouvernementales tiennent régulièrement des programmes de primes de bogues pour vérifier la sécurité de leurs logiciels. Cependant, un marché de prédiction de bogues basé sur la blockchain présente plusieurs avantages qui le rendent plus bénéfique que le code traditionnel.

Tout d'abord, il offre de la transparence. Tout et tout le monde impliqué dans le processus d'audit est enregistré sur la blockchain et accessible pour examen. Ceci est très important pour les utilisateurs et les investisseurs qui vont acheter des jetons d'entreprise ou des fonds directs pour leurs contrats intelligents. Ils pourront voir l'historique du processus d'audit du contrat et décider eux-mêmes si les contrats intelligents d'un dApp ont été minutieusement contrôlés par des professionnels qualifiés ou non. Il fournira également aux investisseurs une base pour identifier et ignorer les escroqueries par blockchain, qui sont devenues endémiques ces derniers temps .

Deuxièmement, cela crée une mesure de confiance pour déterminer dans quelle mesure la communauté croit que chaque contrat intelligent est sûr. Cette mesure de confiance de sécurité est dérivée du prix actuel des jetons de résultat dans son marché de prévision de bogue associé, et fournit une évaluation correctement motivée de la qualité de tout contrat intelligent. Le mouvement de cette mesure de confiance au fil du temps peut être utilisé comme un système d'alerte précoce pour avertir les parties prenantes du risque potentiel, afin qu'ils puissent sortir avant qu'un bogue ne soit divulgué publiquement.

Enfin, cela améliorera la qualité du contrôle par ] inciter les réviseurs lorsqu'ils enregistrent des rapports de bogue réussis ou aident à résoudre des conflits. Les réviseurs placeront également des jetons Solid dans les rapports qu'ils créent, qu'ils peuvent perdre s'ils ne font pas un travail de qualité. Cela garantit l'utilisation équitable de la plate-forme et des systèmes de dissuasion pour cacher les bogues et les exploiter plus tard.

Solidified étendra également le marché à un éventail beaucoup plus large d'organisations et d'experts. Pour l'instant, Solidified met les outils de révision à la disposition de sa liste d'experts. Mais avec le temps, la plate-forme sera disponible pour tous ceux qui veulent gagner des récompenses pour aider à sécuriser les contrats intelligents.