• Perspective
Publié le 11 février 2022

Piratage du pont WormHole : Peut-on faire confiance à la technologie blockchain de DeFi après le deuxième plus grand vol de crypto-monnaies ?

Le deuxième plus grand piratage de la finance décentralisée (DeFi) s'est produit la semaine dernière dans une attaque qui a volé 320 millions de dollars, soit 120 000 Ethereums, soulignant la tendance croissante des attaques contre les plateformes de crypto-monnaies et les problèmes de sécurité.

Wormhole, l'un des ponts les plus populaires reliant les blockchains Ethereum et Solana, a été piraté mercredi.

Ce n'est pas la première fois qu'un tel vol se produit. Par exemple, la semaine précédant cette attaque, des pirates ont volé 80 millions de dollars au protocole DeFi Qubit Finance.

Le plus grand piratage a eu lieu en août dernier, lorsque des jetons d'une valeur de 600 millions de dollars ont été volés sur la plateforme Poly Network, mais étrangement, les pirates ont par la suite rendu la quasi-totalité de l'argent, car leur objectif était d'exposer les failles du système.

Ces piratages soulèvent des questions sur la sécurité de DeFi, une technologie financière émergente qui comporte des morceaux de code programmables appelés "contrats intelligents" pouvant remplacer les intermédiaires comme les banques et les avocats dans les transactions.

Qu'est-ce qu'un pont ?

Un pont, ou passerelle, est un protocole qui permet aux utilisateurs de déplacer des actifs tels que des crypto-monnaies, des jetons et des NFT entre différentes blockchains. Il fonctionne en verrouillant les actifs numériques sur une blockchain pour produire une copie sur la seconde.

Les détenteurs de crypto-monnaies n'opèrent généralement pas dans un seul écosystème de blockchain, de sorte que les développeurs ont créé des ponts pour combler ce vide.

Wormhole a verrouillé plus d'un milliard de dollars (875 milliards d'euros) de valeur totale et prend en charge six blockchains : Terra, Solana, Ethereum, Binance Smart Chain, Avalanche et Polygon.

Comment le piratage s'est-il produit ?

"Un bridge hack se produit lorsqu'une vulnérabilité est identifiée et exploitée au sein du contrat reliant les deux blockchains différentes", a déclaré Nicholas Percoco, responsable de la sécurité chez Kraken, une banque d'échange de crypto-monnaies basée aux États-Unis.

"Dans ce cas, le pont Wormhole, qui permet les transactions entre Solana et Ethereum, a été ciblé. Un attaquant a pu créer de nouveaux jetons du côté Solana du pont et drainer le solde du côté Ethereum du pont, ce qui équivaut à plus de 320 millions de dollars", a-t-il déclaré à Euronews Next.

Selon le Dr Merav Ozair, expert en blockchain et professeur de FinTech à la Rutgers Business School du New Jersey, aux États-Unis, le piratage a eu lieu sur la couche 2, et non sur la couche 1, et ce ne sont donc pas les crypto-monnaies elles-mêmes qui ont été piratées.

La couche 1 est le terme utilisé pour décrire la principale architecture sous-jacente de la blockchain (c'est-à-dire une blockchain, comme Ethereum ou Solana, Avalanche ou Binance Smart Chain). L'expert affirme que la couche 1 est presque impossible à pirater.

Mais elle explique également que la couche 2, le réseau superposé qui se trouve au-dessus de la blockchain sous-jacente (comme le pont Wormhole), est moins sécurisée et donc plus vulnérable à une exploitation due à des erreurs de programmation.

"Par conséquent, la solution devrait consister à créer des ponts blockchain plus sûrs qui protègent contre les attaques potentielles.

La blockchain doit-elle devenir plus sûre ?

Blockchain est une technologie qui, comme d'autres, peut être sujette à des erreurs de programmation et peut être exploitée, comme on l'a vu avec Wormhole.

"Les attaques de haut niveau, comme celle-ci, renforcent l'importance pour l'écosystème cryptographique au sens large de donner la priorité à un état d'esprit de sécurité et de rester vigilant", a déclaré Percoco.

"Les criminels sont constamment à la recherche de nouveaux vecteurs d'attaque et de vulnérabilités, ce qui signifie qu'il faut investir dans des protocoles de sécurité et que ceux-ci doivent être constamment mis à jour. Nous nous attendons à ce que le coup de projecteur de cet événement attire l'attention des équipes de cybersécurité sur l'ensemble de l'écosystème blockchain et se traduise par des protocoles plus robustes à l'avenir", a-t-il ajouté.

En raison de ces risques, Mme Ozair a déclaré qu'elle avait plaidé en faveur d'un mécanisme d'audit des applications avant leur lancement complet. Ce mécanisme existe déjà dans les systèmes centralisés, comme dans les apps d'Apple.

"L'écosystème blockchain, s'il veut se développer et devenir grand public, doit comprendre comment un mécanisme d'audit peut être mis en œuvre dans des applications ou des plateformes décentralisées", a-t-elle déclaré.

Elle estime que "c'est possible", mais que cela nécessitera beaucoup de réflexion et de collaboration de la part de tous les membres de l'écosystème blockchain.

Auteur : Lorenzo Felici

Références :

Article rédigé par
La Minute Cyber