Les questions sur l’interopérabilité se posent alors que Chainalysis indique que les vols de ponts cross-chain représentent désormais 69 % de tous les hacks.
La recherche menée par la plateforme de données blockchain Chainalysis a estimé que 2 milliards de dollars ont été perdus à cause des hacks de ponts cross-chain jusqu’à présent en 2022.
Chainalysis a déclaré dans le rapport que ce problème « représente désormais une menace importante pour l’établissement de la confiance dans la technologie blockchain. »
De plus, les chercheurs ont déclaré que les hacks de ponts sont favorisés par les hackers nord-coréens, qui seraient à l’origine de la moitié des 2 milliards de dollars volés à ce jour.
Ce rapport suit de près le piratage du pont Nomad, qui a permis de dérober 191 millions de dollars. Nomad relie les blockchains Ethereum, Avalanche, Evmos, Moonbeam et Milkomeda.
Les ponts inter-chaînes présentent de multiples points de vulnérabilité
Les ponts cross-chain connectent différentes blockchains, permettant le transfert de données ou de jetons entre des chaînes autrement incompatibles. Cette technologie s’inscrit dans une volonté de rendre l’ensemble de l’écosystème cryptographique interopérable.
Les ponts permettent d’utiliser des actifs sur une autre blockchain sans avoir à sortir de la chaîne pour échanger le jeton requis sur une bourse. En général, ils fonctionnent par un processus de conversion d’actifs utilisant un mécanisme de verrouillage, de minage et de combustion.
Cependant, les ponts sont sensibles à plusieurs vulnérabilités, notamment un point de défaillance unique/centralisation, une faible liquidité car l’entité centralisée doit conserver un pool d’actifs, des vulnérabilités techniques car le mécanisme de lock-mint-burn est régi par des contrats intelligents, et la censure.
Recommandations de la chaîne
Le rapport de Chainalysis indique que 13 piratages de ponts distincts ont eu lieu à ce jour cette année, ce qui représente 69 % de tous les fonds volés.
Les chercheurs ont établi une ventilation des autres hacks par rapport aux hacks de pont, sans qu’aucune tendance ne se dégage. Avant le troisième trimestre 2021, les piratages de pont étaient inexistants. Mais le premier trimestre 2022 a vu un pic des fonds volés sur les ponts, qui a coïncidé avec un pic du total des fonds volés.
Source : blog.chainalysis.com
Chainalysis indique dans son rapport qu’auparavant, les bourses étaient la principale cible des pirates. Mais le renforcement de la sécurité des bourses a obligé les pirates à chercher de nouvelles cibles plus vulnérables.
Pour contrer ce problème, les chercheurs ont préconisé des audits rigoureux du code des contrats intelligents et l’utilisation de contrats éprouvés comme modèles sur lesquels les développeurs pourraient s’appuyer. Chainalysis a également mis en garde dans son rapport contre « l’insouciance de la nature humaine », affirmant que les équipes doivent être formées pour repérer les « tactiques d’ingénierie sociale sophistiquées ».
Bien qu’il ne soit pas mentionné nommément dans le rapport, le commentaire ci-dessus faisait référence au piratage du pont Ronin, dans lequel les utilisateurs d’Axie Infinity ont perdu 615 millions de dollars – la plateforme a ensuite remboursé cette somme.
Il est apparu récemment que le piratage du pont Ronin a été orchestré par des pirates nord-coréens qui ont ciblé un ingénieur principal en lui offrant un faux emploi. Le processus consistait en de faux entretiens qui se terminaient par une offre d’emploi envoyée via un fichier infecté. L’ouverture du fichier permettait aux pirates de prendre le contrôle de plusieurs nœuds du réseau.
