La grande majorité des cryptomonnaies perdues à cause des piratages cette année ont été volées sur des ponts, la technologie qui permet aux utilisateurs de transférer des actifs numériques entre blockchains.
Les raisons sont claires : les ponts sont compliqués, offrant aux attaquants davantage de possibilités d’exploitation.
De plus, ils fournissent un point de défaillance unique : un contrat intelligent retient l’argent de l’utilisateur pendant que les jetons « transférés » – essentiellement des reconnaissances de dette – sont utilisés sur la chaîne de destination.
Mouvement inhabituel
Les chercheurs de L2 Beat ont donc été surpris lorsqu'ils ont exploré Multichain, une plate-forme de transition d'une valeur totale verrouillée d'un milliard de dollars, et ont découvert une menace apparente de l'intérieur.
Dans un geste inhabituel, Multichain a transféré des millions de fonds d'utilisateurs depuis le séquestre pour fournir des liquidités ailleurs dans son réseau, selon L2 Beat, un projet de recherche qui analyse l'espace blockchain de couche 2.
"C'est l'argent des utilisateurs, donc soit cela est convenu avec les utilisateurs de cette chaîne, soit ils ont rompu un contrat social avec les utilisateurs", a déclaré Bartek Kiepuszewski, chercheur à L2 Beat, à The Defiant.
C'est l'argent des utilisateurs, donc soit cela est convenu avec les utilisateurs de cette chaîne, soit ils ont rompu un contrat social avec les utilisateurs.
Bartek Kiepuszewski
Bien que le transfert des jetons depuis le séquestre puisse être vu sur la chaîne, selon Kiepuszewski, où ces jetons sont finalement allés est un mystère.
Multichain affirme que les jetons ont été utilisés pour fournir des liquidités ailleurs sur son réseau, mais la taille de ce réseau signifie qu'il est extrêmement difficile de confirmer ces affirmations pour une petite équipe comme L2 Beat.
Qu'est-ce que le pontage ?
Un guide étape par étape de l'une des fonctionnalités les plus importantes de DeFi
Michael Lewellen, responsable des solutions chez Open Zeppelin, société de sécurité cryptographique, a déclaré que cette pratique était effectivement problématique.
"S'il n'existe pas de moyen clair d'identifier que les actifs que le pont prétend soutenir ne sont pas présents dans un endroit publiquement vérifiable, je le déclarerais certainement comme une préoccupation spécifique pour le pont", a déclaré Lewellen à The Defiant.
Les allégations de L2 remettent en question le comportement et les pratiques de sécurité d'une organisation responsable de plus d'un milliard de dollars de fonds d'utilisateurs. Multichain relie des dizaines de blockchains et prend en charge des milliers de jetons. Confirmer que Multichain possède toujours cette cryptographie – qu'elle n'a pas été volée ou jouée dans les protocoles DeFi – serait une tâche herculéenne.
Nouveau doute
En outre, ces allégations pourraient jeter un nouveau doute sur la technologie des ponts, qui a subi d’énormes dégâts aux mains des pirates informatiques cette année.
Trois des cinq plus gros piratages de l'histoire de la cryptographie ont eu lieu cette année, et chacun d'entre eux était un piratage de pont, selon l'exploit de Rekt. classement. Plus de 600 millions de dollars ont été retirés au réseau Ronin. Près de 600 millions de dollars ont été retirés d'un pont Binance. Plus de 300 millions de dollars ont été retirés du pont Wormhole.
Multichain n'a pas répondu aux multiples demandes de commentaires soumises via l'adresse e-mail de contact indiquée sur son site Web.
Hypothèses de sécurité
L'épisode met en évidence le rôle que joue L2 dans l'examen minutieux de l'espace de mise à l'échelle de la blockchain. Lorsque le fabricant du protocole de prêt envisageait de s'étendre aux blockchains de couche 2 telles que Optimism et Arbitrum, il lui fallait mieux comprendre le fonctionnement de ces blockchains.
Le projet qui a suivi est finalement issu de Maker et est devenu L2 Beat – un site Web qui répertorie une myriade de blockchains de couche 2, le montant d'argent qu'elles détiennent et les hypothèses de sécurité qu'elles émettent.
[Contenu intégré]
Ce mois-ci, le projet s'est élargi avec le lancement d'un tableau de bord pour les protocoles de pont. À côté de Multichain, le deuxième plus grand protocole de pont au monde, l'équipe L2 Beat a apposé un petit bouclier jaune portant un point d'exclamation, avertissant les utilisateurs de l'irrégularité présumée.
« Chaque pont fonctionne plus ou moins de la même manière », explique Kiepuszewski. « Vous envoyez des jetons à une adresse et les [nouveaux] jetons seraient émis par les validateurs sur la destination [blockchain]. Si vous souhaitez revenir en arrière, l'inverse se produit, vous brûlez donc les jetons à destination et les validateurs doivent libérer les jetons de l'adresse séquestre à laquelle vous avez initialement envoyé les jetons.
Réseau de liquidité
Les protocoles de pont qui ne peuvent pas créer de nouveaux jetons sur une chaîne de destination utilisent plutôt la méthode du « réseau de liquidité ». Les fournisseurs de liquidité déposent des jetons dans des pools de liquidité sur la chaîne de destination. Ces jetons sont disponibles pour les utilisateurs qui établissent un pont vers cette blockchain, et ils sont renvoyés dans le pool lorsque les utilisateurs du pont se retirent vers leur chaîne d'origine.
La multichaîne, qui possède des ponts vers des dizaines de blockchains, est un hybride, selon L2 Beat. Dans certains cas, il frappe des jetons. Dans d’autres, il utilise des pools de liquidités.
Selon les recherches de Kiepuszewski, les validateurs multichaînes ont retiré près de 80 millions de dollars de pièces stables et 300 Bitcoins d'un contrat séquestre, laissant plus de crypto sur la chaîne de destination qu'il n'en restait dans le contrat.
Kiepuszewski a déclaré avoir contacté Multichain et ses représentants lui ont dit que la crypto avait été utilisée pour approvisionner des pools de liquidités dans différentes chaînes.
Ether atteint son plus haut niveau en six semaines alors que de solides bénéfices alimentent le rallye boursier
Les jetons de couche 1 mènent la charge
"Ils affirment que cela ne pose pas de problème à leur avis, car l'argent réside toujours dans l'écosystème Multichain et les utilisateurs, à leur avis, devraient toujours pouvoir retirer le montant dont ils ont besoin", a déclaré Kiepuszewski. Mais réaliser un audit « devient désormais extrêmement compliqué, car il faut analyser tout l’écosystème Multichain, non ?
Lewellen d'Open Zeppelin était d'accord. "Même pour les réseaux de liquidité", a-t-il précisé. "Il existe au moins un moyen d'examiner les différents pools [de fournisseurs de liquidités] et les différentes chaînes et d'identifier que l'ensemble des actifs émis par un pont correspond à un pool de liquidité ailleurs."
Lewellen et Kiepuszewski ont tous deux déclaré qu'un tableau de bord montrant l'itinéraire emprunté par leurs fonds contribuerait grandement à apaiser les inquiétudes concernant le mouvement des crypto-monnaies des utilisateurs.
Vulnérabilités logicielles
Cela ajoute également une nouvelle difficulté lorsqu'il s'agit d'évaluer si Multichain est un endroit sûr pour garer son argent. En règle générale, un audit confirmerait s'il existe des vulnérabilités logicielles. Désormais, les utilisateurs doivent également se demander si Multichain lui-même peut faire confiance à leur argent, a déclaré Kiepuszewski.
Même si les fonds sont conservés en lieu sûr, il peut être difficile d’y accéder en temps opportun. Et cela présente ses propres problèmes, selon Lewellen, qui a souligné le fait qu'il semble y avoir moins de Dai dans le pont Fantom de Multichain qu'il n'y a de jetons Dai émis par Multichain sur Fantom.
Pas de clarté
Selon L52 Beat, plus de 1 millions de dollars de Dai reliés à Fantom, une blockchain de couche 2, auraient été retirés du séquestre par les validateurs Multichain.
Si le Dai perdait son ancrage au dollar américain et que les personnes possédant du Dai sur Fantom voulaient échanger ce Dai contre des USD, elles pourraient perdre une somme d'argent importante dans le temps nécessaire pour localiser et transférer le Dai qui aurait dû être en USD. séquestre, selon Lewellen.
"Ce n'est pas que cela va se produire aujourd'hui, mais cela pourrait arriver si ces facteurs s'alignent d'une manière qui n'est pas très favorable pour Multichain", a-t-il déclaré, "et je pense que c'est finalement de là que vient l'inquiétude. Il s’agit tout simplement de ne pas savoir clairement comment Multichain gère ce risque.
- Bitcoin
- blockchain
- conformité de la blockchain
- conférence blockchain
- coinbase
- cognitif
- Consensus
- conférence cryptographique
- extraction de crypto
- crypto-monnaie
- Décentralisé
- DeFi
- Actifs numériques
- Ethereum
- machine learning
- jeton non fongible
- Platon
- platon ai
- Intelligence des données Platon
- Platoblockchain
- PlatonDonnées
- jeu de platogamie
- Polygone
- la preuve de la participation
- Le defiant
- W3
- zéphyrnet
![Qu'est-ce que Tranchess ? [Sponsorisé]](https://platoblockchain.com/wp-content/uploads/2023/04/what-is-tranchess-sponsored-300x222.png "Qu'est-ce que Tranchess ? [Sponsorisé]")
![[SPONSORITÉ] Balancer Wars : le chemin d'Aura vers la domination dans Ethereum DeFi PlatoBlockchain Data Intelligence. Recherche verticale. Aï.](https://platoblockchain.com/wp-content/uploads/2022/09/Balancer-Wars-Auras-Path-to-Dominance-in-Ethereum-DeFi-300x169.png "[SPONSORISÉ] Balancer Wars: le chemin d'Aura vers la domination dans Ethereum DeFi")
