Comment HashEx aide à sécuriser l'industrie DeFi grâce à l'audit des contrats intelligents

L'audit des contrats intelligents devient encore plus important avec l'avènement de la finance décentralisée. C'est là que des entreprises comme HashEx entrent en scène. HashEx a fourni des audits de contrats intelligents pour plus de 500 projets à ce jour et la société aide à sécuriser les protocoles DeFi. Les vulnérabilités que l'entreprise a découvertes dans les contrats intelligents ont permis d'économiser plus de 2 milliards de dollars de projets.

Bitcoinist s'est entretenu avec le PDG de HashEx, Dmitry Mishunin, pour parler du travail de l'entreprise dans ce domaine. Fondée en 2017, HashEx possède un palmarès impressionnant dans l’espace DeFi. Mishunin a parlé à Bitcoinist de son travail dans le domaine de la cybersécurité, de son travail avec des contrats intelligents et de l'audit le plus récent de HashEx, le contrat intelligent KODA.

Bitcoinist : Comment êtes-vous arrivé à la cybersécurité ?

Dmitri Michounine : J'ai fait du développement de logiciels pendant dix ans pour différentes entreprises. La plupart du temps, j'ai travaillé avec une petite équipe d'ingénieurs pour mettre en place des solutions complexes. Nous n'avons jamais fait de sites Web ou d'applications mobiles. Nous avons toujours créé quelque chose de compliqué. Nos clients étaient de grandes sociétés informatiques russes et lorsqu'ils manquaient d'équipes de développement internes et qu'ils avaient des projets intéressants à exécuter comme des outils de Big Data et d'analyse, ils sont venus nous voir et nous ont demandé de le faire. Avant HashEx, nous avions au moins cinq ans d'externalisation de nos services. 

Quelque chose d'intéressant à mentionner ici est que j'ai travaillé en tant que CIO dans trois entreprises de commerce électronique en Russie et il y a toujours une guerre entre le CIO et le CSO parce que le CIO veut optimiser tous les processus, mettre en œuvre de nouvelles solutions, introduire de nouveaux logiciels pour fonctionner plus rapidement, et tout cela constitue un risque de sécurité potentiel pour un responsable de la sécurité. Donc, vous avez toujours un conflit là-bas. À ce moment-là, j'étais sur une ligne de combat différente. Quand j'ai commencé à travailler sur la cybersécurité dans la blockchain, je pense que le point principal n'était pas la sécurité elle-même mais les investisseurs et les fonds des investisseurs. 

Bitcoiniste : Avec votre expérience, vous auriez pu vous lancer dans n'importe quel domaine du secteur de la cybersécurité. Pourquoi avez-vous choisi l’audit des contrats intelligents ?

Dmitri Michounine : Mi-2013 ou 2014, je me suis lancé dans le minage de Bitcoin. J'ai essayé d'exploiter Bitcoin. Ensuite, je me suis concentré sur Litecoin. J'ai construit des fermes. Ensuite, je me suis concentré sur les logiciels miniers et les systèmes de surveillance minière. Lorsque Ethereum a été introduit, j’avais déjà une certaine expérience des blockchains et de la technologie elle-même. 

En 2017, avec le premier boom des ICO, nous avons décidé de cesser d'externaliser nos activités de développement dans différentes directions et de nous concentrer uniquement sur les contrats intelligents Ethereum. Nous y avons travaillé pendant un an, de 2017 à 2018. Nous avons réalisé environ 100 projets différents, des contrats intelligents et des applications décentralisées, acquérant de bonnes compétences et connaissances sur le fonctionnement d'Ethereum, Solidity et des contrats intelligents. Les demandes de nos clients sont passées des demandes de code à la consultation pour s'assurer que leurs codes sont sûrs. Nous avons commencé comme un véritable auditeur. Nous avons changé notre travail principal de l'écriture de code à l'inspection de code, puis à l'audit de code.

J'avais une vaste expérience des marchés boursiers comme le Nasdaq et le marché boursier russe. J'ai donc compris à quel point il était important de garder vos fonds en sécurité. Pas seulement par les voleurs, mais aussi par les mauvaises décisions d'investissement. Nous réfléchissions à la façon de gagner la confiance dans un espace sans confiance. C'était beaucoup plus important pour nous que la cybersécurité. 

Avant d'entrer dans la blockchain, j'ai eu d'innombrables opportunités de devenir responsable de la sécurité, peut-être de créer une entreprise qui effectue des tests d'intrusion et trouve des fuites de sécurité. Je n'étais pas intéressé par cette sphère. Cependant, en ce qui concerne les investissements dans la blockchain et les projets de blockchain et le risque élevé associé à l'espace, j'étais enthousiasmé par la façon dont nous pourrions le rendre plus sûr, comment nous pourrions aider les gens à tirer parti en toute sécurité des opportunités que ce domaine présentait.

Bitcoinist : Votre entreprise HashEx a audité plus de 500 contrats intelligents. Pouvez-vous parler de certains de vos projets les plus difficiles ? 

Dmitri Michounine : Parfois, nous sommes confrontés à de gros projets avec une base de code massive. En septembre, nous avons effectué un audit du protocole de prêt de Trader Joe qui repose sur Avalanche. Ils avaient forgé CREAM Finance, qui a été piraté plusieurs fois avec des centaines de millions de dollars volés. En forçant CREAM, ils avaient également hérité des vulnérabilités du réseau. Ils sont donc venus nous voir pour faire un audit de la base de code. C'était énorme. 

Un audit de contrat intelligent prend généralement 5 à 7 jours ouvrables. Mais il nous a fallu plus d'un mois pour terminer l'audit du protocole de Trader Joe. Nous avons dû faire venir plus d'auditeurs sur le projet. Nous ne pouvions pas le faire avec notre approche standard de deux auditeurs sur le projet. Nous avions un superviseur auditeur entre deux petites équipes d'auditeurs. C'était l'un des projets les plus compliqués sur lesquels nous ayons travaillé.

Bitcoiniste : HashEx a récemment audité le contrat intelligent KODA. Pouvez-vous parler du projet ?

Dmitri Michounine : Nous avons commencé à travailler avec eux cet été. Nous avons eu au moins deux ou trois contrats intelligents de leur part, dont le premier que nous avons obtenu cet été. Puis ils ont sorti la deuxième version de KODA. Ils l'ont changé plusieurs fois parce qu'ils essayaient de l'adapter aux besoins du marché. KODA est un projet intéressant car derrière, il y a an entrepreneur, James Gale, qui est très bon dans ce qu'il fait. Je pense que quelqu'un comme ça est bon pour un projet comme KODA. Il a une entreprise dans le monde réel en Grande-Bretagne et son expérience des affaires est importante pour eux.

Bitcoinist : Quels risques avez-vous découverts dans le contrat intelligent KODA au cours de votre audit ?

Dmitri Michounine : Pour autant que je me souvienne, KODA est un RFI jeton fourchu et la plupart d'entre eux essaient juste de se fourcher. Cela les amène à avoir de nombreuses opportunités pour les brèches de porte dérobée. L'un des plus gros projets RFI est Safemoon, qui a atteint plus de 2 milliards de dollars de capitalisation. Nous avons effectué un audit pour eux au cours de l'été et avons trouvé des informations sur les portes dérobées. Ils avaient environ 10 vulnérabilités et ces vulnérabilités étaient risquées lorsque ces projets ont commencé à interagir les uns avec les autres.

Nous avons publié un article qui a été publié dans des publications cryptographiques de premier plan. Nous avons révélé comment l'équipe de Safemoon pourrait générer environ 20 millions de dollars de fonds d'investisseurs. Le projet avait fait l'objet d'une dizaine d'audits préalables et personne n'avait trouvé cette vulnérabilité. Lorsque KODA est allé sur le marché, ils avaient forgé le même code que Safemoon, ils avaient donc la même porte dérobée.

Nous avons révélé les vulnérabilités à l'équipe KODA et ils ont corrigé la possibilité de voler des fonds via cette porte dérobée. Maintenant, je pense que le projet est plutôt bon.

Bitcoinist : Après avoir découvert ces vulnérabilités dans le contrat intelligent, comment avez-vous amélioré la sécurité du contrat intelligent ?

Dmitri Michounine : Lorsque nous effectuons un audit, nous envoyons un rapport préliminaire à l'équipe. Nous envoyons nos recommandations et suggestions et l'équipe les suivra dans leur code. Ils nous envoient ensuite la prochaine version de la base de code. Nous vérifions à nouveau les problèmes et nous nous assurons qu'il n'y a plus de vulnérabilités dans le code. Pour autant que je me souvienne, nous avons passé KODA avec un bon résultat d'audit. Il y a eu quelques problèmes mineurs, mais je ne pense pas que ce soit un gros problème de ne pas travailler avec.

Bitcoinist : L'audit étant terminé avec succès, dans quelle mesure êtes-vous confiant dans l'avenir du projet KODA ?

Dmitri Michounine : Si on parle du côté tech, comme du smart contract, j'ai 100% confiance dans le projet.

Bitcoinist : Où voyez-vous l’industrie DeFi dans les cinq à dix prochaines années, disons ?

Dmitri Michounine : Je pense qu'il sera plus important que le secteur bancaire actuel. Nous voyons de nombreux investisseurs institutionnels, de grandes entreprises comme Microsoft, Facebook, entrer dans l'espace. C'est très facile à utiliser. Je pense que les secteurs financiers traditionnels comme la banque, les prêts, les prêts, etc. seront transformés par la finance décentralisée (DeFi).

Image vedette de Medium

Source : https://bitcoinist.com/how-hashex-is-helping-secure-the-defi-industry-through-smart-contracts-auditing/?utm_source=rss&utm_medium=rss&utm_campaign=how-hashex-is-helping-secure -l'industrie-defi-grâce à l'audit-des-contrats-intelligents