Un piratage majeur nous montre le chemin qu’il reste à parcourir pour la cryptographie – et que la première étape pourrait être le retour en arrière.
Mardi, le pont Nomad a été piraté pour 190 millions de dollars US, ce qui en fait le quatrième plus grand hack de l’histoire de la crypto.
Dans ce cas, une simple erreur de code a permis aux attaquants de réexécuter n’importe quelle transaction avec leur propre adresse et de la faire aboutir. Un chaos absolu s’est installé, les utilisateurs ordinaires se mettant à siphonner les fonds Nomad comme s’ils étaient l’élite du piratage de la Corée du Nord. (Certains ont depuis honteusement rendu leur butin, après avoir réalisé qu’ils avaient retiré l’argent sur leurs comptes .eth, très facilement repérables).
A ce stade, il devient de plus en plus clair que les crypto-ponts – les protocoles qui permettent aux utilisateurs d’effectuer des transactions entre des chaînes de niveau 1 comme Ethereum et Solana – sont nuls. A quel point sont-ils nuls ? Eh bien, jusqu’à présent cette année, plus de 2 milliards de dollars US ont été drainés des ponts inter-chaînes dans 13 piratages. Nous savons que la crypto est risquée, mais garder de l’argent sur un pont en ce moment, c’est comme s’enduire d’entrailles de poisson et faire un plongeon dans l’enclos des requins.
La technologie n’est tout simplement pas prête. Mais il y a une chance pour qu’elle ne le soit jamais et pour l’instant, la crypto dans son ensemble ferait mieux de revenir aux blocs de construction.
Au début
La règle cardinale de la programmation est de faire simple. Plus le code est compliqué, plus il y a de chances que quelque chose se casse, ou interagisse de manière inattendue et crée une vulnérabilité.
Bitcoin v0.1.0 a créé la première blockchain en janvier 2009. Avec ses 3000 lignes, c’est un miracle de simplicité. Si le code a gagné en sophistication depuis lors, sa partie fondamentale – la blockchain elle-même – fonctionne sans interruption depuis lors.
Une partie de l’attrait de Bitcoin est le fait qu’il reste structurellement si simple. Les objets contenant des bitcoins ont été piratés. Le bitcoin n’a jamais été piraté. La résistance à la falsification a été intégrée dans son ADN.
Mais avec chaque couche que nous ajoutons au travail de base d’une blockchain – l’enregistrement des transactions sur un grand livre inaltérable – nous introduisons de la complexité et augmentons la surface d’attaque. À un certain point, vous faites énormément confiance aux développeurs pour qu’ils fassent preuve de diligence raisonnable à l’égard d’une nouvelle technologie faisant des choses sans précédent.
Combler le fossé
L’opérabilité inter-chaînes est devenue un credo, en quelque sorte. Il est largement admis que l’avenir des crypto-monnaies sera celui où toutes les différentes couches 1 – Ethereum, Solana, Avalanche, Cosmos, Algorand, Tezos, etc – seront capables d’envoyer de la valeur dans les deux sens en appuyant sur un bouton. D’où la nécessité des ponts.
Mais en matière de sécurité, les ponts sont particulièrement vulnérables parce qu’ils exécutent des blockchains liées à d’autres blockchains à l’aide de contrats intelligents. Pour ajouter au désordre, elles sont souvent exécutées par des applications ou des extensions de navigateur qui introduisent une couche supplémentaire, et beaucoup plus vulnérable, à la pile.
En janvier, Vitalik Buterin, le créateur d’Ethereum, a écrit qu’il s’attendait à ce que les problèmes de sécurité qui affligent les ponts soient, essentiellement, insolubles. Bien qu’il se soit concentré sur la quasi-certitude d’attaques à 51 % – et le fait que celles-ci ne se soient pas encore produites devrait être effrayant – il n’en reste pas moins que plus les choses sont abstraites, plus elles deviennent instables. Et c’est une leçon qui nous coûte des milliards et des milliards de dollars à apprendre.
Les blockchains, pas les ponts
En 2015, un refrain courant était « blockchain pas Bitcoin ». C’était une façon d’essayer de séparer les nouvelles opportunités passionnantes de la technologie blockchain du bitcoin, dont le principal cas d’utilisation à ce stade semblait être l’achat de médicaments en ligne.
Un mantra actualisé pour 2022 pourrait être « blockchains not bridges ». Une grande partie de ce que la crypto est devenue au cours des dernières années implique des couches de programmation et d’abstraction financière empilées sur ce qui, à la base, reste une technologie simple et puissante.
Le problème va plus loin que le code, cependant. C’est un symptôme de la tendance de la crypto à la complexité et à l’incompréhension, une tendance qui a commencé pendant l’été du DeFi et qui ne s’est pas démentie depuis. L’objectif est de plus en plus occulté par des mécanismes financiers, des calendriers d’acquisition et des structures d’incitation à plusieurs niveaux qui dépassent l’entendement.
Comme l’affirme ce billet, qu’est-il arrivé à la fabrication d’un produit que les gens veulent réellement utiliser ? Où est l’adaptation au marché ? L’UX sans faille ? L’application qui tue ? Ou, comme le dit Sam Bankman-Fried de FTX, les blockchains qui ont un « impact positif réel sur le monde » ?
Bien sûr, il est peut-être encore trop tôt. Mais si c’est le cas, nous devrions peut-être accorder plus d’attention à la mise en place des éléments de base.
Luke de CoinJar
Les services d’échange de devises numériques de CoinJar sont exploités en Australie par CoinJar Australia Pty Ltd ACN 648 570 807, un fournisseur d’échange de devises numériques enregistré auprès de l’AUSTRAC ; et au Royaume-Uni par CoinJar UK Limited (numéro d’entreprise 8905988), enregistré par la Financial Conduct Authority en tant que fournisseur d’échange de crypto-monnaies et fournisseur de porte-monnaie dépositaire au Royaume-Uni en vertu des Money Laundering, Terrorist Financing and Transfer of Funds (Information on the Payer) Regulations 2017, tels que modifiés (Firm Reference No. 928767). Comme tous les investissements, les cryptoactifs comportent des risques. En raison de la volatilité potentielle des marchés des cryptoactifs, la valeur de vos investissements peut baisser de manière significative et entraîner une perte totale. Les cryptoactifs sont complexes et ne sont pas réglementés au Royaume-Uni, et vous ne pouvez pas accéder au Financial Service Compensation Scheme ou au Financial Ombudsman Service du Royaume-Uni. Nous utilisons des fournisseurs de services bancaires, de garde et de paiement tiers, et la défaillance de l’un de ces fournisseurs pourrait également entraîner une perte de vos actifs. Nous vous recommandons d’obtenir des conseils financiers avant de prendre la décision d’utiliser votre carte de crédit pour acheter des crypto-actifs ou d’investir dans des crypto-actifs. Une taxe sur les plus-values peut être due sur les bénéfices.
