Investing.com - Premier Portail Financier
Obtenir 40% de réduction
Obtenir 40% de réduction
👀 👁 🧿 Tous les regards se tournent vers Biogen, en hausse de +4,56% après la publication de ses résultats.
Notre IA a sélectionné l’action dès mars 2024. Quelles seront les prochaines actions à s'envoler ?
Trouver des actions maintenant

L'effondrement de la blockchain Ethereum-Solana est préprogrammé

Publié le 11/02/2022 15:25
Mis à jour le 11/02/2022 15:32

Solana - GitHub
SafeCoin - Solana
SafeBridge - EthereumInvesting.com - Le piratage du pont Wormhole, qui relie Solana à Ethereum, a été l'une des heures les plus sombres que le réseau ait eu à vivre jusqu'à présent.

Dans le pire des cas, il aurait pu s'agir d'une véritable catastrophe qui aurait ébranlé les fondements de tout l'univers crypto. Seule la compensation immédiate des dommages subis, à hauteur de 120.000 éthers, a permis d'éviter que des écosystèmes entiers ne s'effondrent comme un château de cartes.

Afin de comprendre ce qui s'est passé et d'imaginer ce qui aurait pu en découler, nous devons examiner en détail ce qu'est Wormhole et comment la plate-forme fonctionne exactement.

Qu'est-ce que Wormhole en réalité ?

Wormhole est ce que l'on appelle un pont qui n'a qu'une seule fonction : relier différentes blockchains entre elles. Grâce à cette connexion, il est possible d'effectuer des transactions entre des blockchains en soi différentes.

Si l'on possède Ethereum et que l'on souhaite participer à un projet Solana, il fallait auparavant convertir les éthers en SOL via une bourse, ce qui était compliqué. Cette approche n'est plus nécessaire lorsqu'on utilise un pont comme Wormhole. On dépose des ETH d'un côté et on obtient des WETH compatibles avec Solana de l'autre côté, dans un rapport de 1:1.

C'est précisément ce mode de fonctionnement entre Ethereum et Solana que les pirates ont exploité. Le plan consistait à exploiter un enchaînement de circonstances malheureuses, c'est le moins que l'on puisse dire. En forçant le trait, on pourrait dire que la stupidité de différentes personnes impliquées devait être transformée en monnaie sonnante et trébuchante.

Publicité tierce. Il ne s'agit pas d'une offre ou recommandation d'Investing.com. Lisez l'avertissement ici ou supprimez les pubs .

Comment l'attaque a-t-elle eu lieu ?

Dès le 12 octobre, Solana a constaté l'existence d'une faille de sécurité. Mais au lieu d'agir directement et d'informer Wormhole de la situation, les développeurs ont intégré le correctif dans une mise à jour normale qui devait être livrée avec la version 1.9.4.

Ils ont cru à tort que personne ne découvrirait la faille de sécurité, bien que le code soit accessible au public. À ce moment-là, il était donc possible à toute personne ayant des connaissances avancées en programmation d'identifier et d'exploiter la faille de sécurité. Les responsables ont tout simplement omis de combler la faille de sécurité avec un hotfix.

Jeff Galloway, expert en blockchain et fondateur de la blockchain SafeCoin de la communauté Solana, a déclaré ce qui suit dans une interview avec Investing.com :

"Cacher des correctifs de sécurité importants dans des mises à jour publiques qui ne sont pas immédiatement implémentées est une approche extrêmement malheureuse et grossièrement négligente. Dès que le bug a été connu, Wormhole aurait dû effectuer une mise à jour d'urgence immédiatement".

Le fait que la faille de sécurité était connue sur le site de Solana est un fait incontestable. Cela a été consigné publiquement avec la mention "Non sécurisé, car l'adresse des comptes Sysvar n'est pas vérifiée, veuillez utiliser `load_instruction_at_checked' à la place".

Cet incroyable incident a été commenté par Jeff Galloway comme suit :

"Solana a publié le 12 octobre 2021 une mise à jour qui montre clairement qu'il existe une faille de sécurité. Mais le code défectueux n'a pas été supprimé, Wormhole n'a reçu aucune notification et aucune mise à jour d'urgence n'a été effectuée. La fonction non sécurisée a simplement fait l'objet d'un avis visible par tous".

Publicité tierce. Il ne s'agit pas d'une offre ou recommandation d'Investing.com. Lisez l'avertissement ici ou supprimez les pubs .

Il est donc clair que Solana avait connaissance de la faille de sécurité depuis des mois et n'a absolument rien fait. Reste à savoir combien de responsables étaient au courant et pourquoi on a préféré croiser les bras plutôt que d'agir.

Ethereum a connu un problème similaire

Ce n'est en tout cas pas une pratique courante. En tant qu'utilisateur de Windows, nous nous sommes certes habitués à vivre avec des failles de sécurité au cours des dernières décennies, mais nous n'effectuons pas non plus des transactions de plusieurs centaines de millions de dollars.

L'année dernière, Ethereum a fourni un exemple parfait de la manière de faire les choses correctement. Une erreur critique similaire a été découverte dans l'Ethereum Virtual Machine (EVM), mais la réaction a été immédiate et un hard fork a été mis en place.

Wormhole ignore la faille de sécurité

Après que Solana soit resté inactif, les développeurs de Wormhole ont remarqué la faille de sécurité le 11 janvier 2022. Une fois de plus, il y avait une chance de régler le problème immédiatement, mais rien ne s'est passé.

Il n'y a que deux possibilités. Soit les responsables n'ont pas compris la portée de la faille de sécurité, soit ils n'ont pas eu le temps de se pencher sur le problème ? La faille de sécurité, qui allait bientôt s'avérer être une fonctionnalité permettant d'imprimer de l'argent, est donc restée en place.

Le 2 février 2022, Wormhole a publié un correctif de sécurité accessible au public pour une future mise à jour et moins de neuf heures plus tard, l'attaque avait lieu.

Publicité tierce. Il ne s'agit pas d'une offre ou recommandation d'Investing.com. Lisez l'avertissement ici ou supprimez les pubs .

Jeff Galloway a résumé l'événement comme suit :

"Le manque de communication, l'incapacité à réagir aux problèmes critiques et l'erreur humaine ont permis cette attaque lourde de conséquences qui trouvait son origine dans le code Solana".

L'attaque aurait-elle pu être évitée ?

Le déroulement de cet incident montre clairement qu'il y aurait eu différentes possibilités d'intervenir. Mais au lieu de cela, il semble que l'on ait sciemment accepté que des mois s'écoulent sans que rien ne soit fait.

Une estimation confirmée par Jeff Galloway :

"Si quelqu'un (Solana, Wormhole ou autre) avait suivi à un moment quelconque de ce processus, entre le 12 octobre 2021 et le 2 février 2022, les directives de sécurité de base pour réagir à un problème de sécurité critique, cette attaque n'aurait pas eu lieu".

Mais si l'on pense que toute l'histoire est ainsi racontée, on se trompe lourdement.

Il est normal que des failles de sécurité apparaissent lors de la création d'une plate-forme. Mais si elles ne sont pas comblées alors qu'elles sont connues, il s'agit alors d'une erreur humaine. Un problème si fréquent qu'il aurait dû être pris en compte lors du développement.

Mais l'immense pression du développement, qui suit des intérêts purement économiques, l'a empêché.

Jeff Galloway a déclaré à ce sujet à Investing.com ce qui suit :

"Si Wormhole avait été conçu comme un système de secours redondant et non comme une vulnérabilité, cette attaque n'aurait pas eu lieu même si les attaquants avaient eu connaissance de la faille de sécurité.

Si Wormhole disposait d'un réseau de test public, cela aurait à son tour forcé le respect de mesures de sécurité appropriées et aurait très probablement empêché l'attaque".

Publicité tierce. Il ne s'agit pas d'une offre ou recommandation d'Investing.com. Lisez l'avertissement ici ou supprimez les pubs .

Si Jeff Galloway sait exactement de quoi il parle, c'est parce qu'il est impliqué dans le développement d'un pont - SafeBridge. La plateforme qui servira de base de départ à l'écosystème en pleine expansion sur la blockchain SafeCoin.

Elle comprend des contrôles de sécurité redondants qui garantissent que chaque transaction est conforme aux règles de base du consensus de toutes les chaînes impliquées. Et il y a aussi un réseau de test public. Toutes choses qui font défaut à Wormhole et qui ont dépassé depuis longtemps le stade de la théorie.

Le SafeBridge a déjà été publié sur un réseau de test public et peut être testé sous toutes les coutures par n'importe qui.

Concernant le développement de SafeBridge, Galloway a expliqué :

"Chaque pont de blockchain devrait être construit de manière à résister à la menace de sécurité la plus dangereuse qui soit : l'erreur humaine.

Dans le cas d'un pont entre plusieurs projets, cela ne peut être réalisé que par une sécurité redondante, utilisant les contrôles les plus fiables de chaque blockchain. C'est exactement ce que nous développons. À ma connaissance, nous sommes les premiers dans ce domaine.

Nous espérons d'ailleurs toujours mettre en place un réseau public de test Wormhole. Mais, en attendant, la communauté est heureuse d'utiliser et de tester gratuitement notre réseau".

Le fonctionnement exact du SafeBridge peut être consulté sur le graphique plus haut. En principe, il montre comment fonctionne chaque pont. Les zones marquées en vert sont en revanche des extensions dont seul le SafeBridge dispose.

Publicité tierce. Il ne s'agit pas d'une offre ou recommandation d'Investing.com. Lisez l'avertissement ici ou supprimez les pubs .

Pour faciliter la compréhension, nous avons demandé à Jeff Galloway s'il pouvait nous fournir un exemple. Il a fait preuve ici de son sens de l'humour en décrivant la fonction à l'aide de l'attaque Wormhole.

Wormhole : transfert de 127 000 ETH de Solana vers Ethereum :
Smart Contract sur Solana procède à la vérification : "Ça me paraît bien !"
Wormhole demande : "Tout le monde est-il d'accord ?" Les Gardiens répondent : "Oui, bien sûr ! Si le Smart Contract dit que tout va bien, ça doit être bon !"
Wormhole : "Ok Ethereum, voici 127.000 ETH".
Ethereum : "Merci beaucoup !"

SafeBridge : Transfert de 127.000 ETH de Solana vers Ethereum :
Smart Contract sur Solana procède à la vérification : "Cela me semble bon !"
SafeBridge : "Super ! Hé, Ethereum, juste pour être sûr, est-ce que ces gens viennent de déposer 127.000 ETH ?"
Ethereum : "Pardon ? Non, ils n'ont déposé que 0,1 ETH".
SafeBridge : "Un paiement n'est pas possible pour le moment".

Il reste donc finalement à constater que la catastrophe était entièrement faite maison - le résultat d'une erreur humaine et d'un manque de savoir-faire technique.

Pour être juste, il faut dire qu'il ne s'agit pas d'un cas isolé. La pression du développement de projets commerciaux est telle que les nouvelles fonctionnalités pour les utilisateurs ont la priorité sur les aspects liés à la sécurité.

Mais cela n'améliore pas la situation, bien au contraire. Dans un monde de blockchains en réseau, où les protocoles DeFi exécutent des transactions automatisées entre eux, la probabilité d'une super catastrophe augmente.

Publicité tierce. Il ne s'agit pas d'une offre ou recommandation d'Investing.com. Lisez l'avertissement ici ou supprimez les pubs .

Si un montant de capital critique disparaît à un seul endroit, c'est tout le château de cartes qui peut s'effondrer, à l'instar de la faillite de Lehmann Brothers, qui a déclenché une crise financière mondiale en 2008.

Ce coup d'œil en coulisses était donc d'autant plus important. Un grand merci à Jeff Galloway de SafeCoin, qui nous a consacré son précieux temps pour nous donner un aperçu complet de la situation.

Pour être complet, voici la réaction officielle de Jump Crypto, le propriétaire de Wormhole.

"Aujourd'hui, je suis sacrément fier de tout le monde dans l'équipe de Jump et de Wormhole. Ils ont fait preuve d'une persévérance et d'une énergie incroyables dans une situation extrêmement difficile".

"Jump a investi 120k de son propre ETH parce que nous croyons en Wormhole et que nous voulons le soutenir dans cette phase de son développement".

Par Marco Oehrl

Derniers commentaires

pff j'ai vu des choses pourtant je ne sais pas web master 😑
quand j'ai eu le sentiment que mon mari me trompait, j'ai contacté vladimir hacks sur instagram et il m'a aidé à espionner mon mari pour moi et il m'a aussi aidé à récupérer mon compte.
le facteur x
ça balance du code Rust sur Investing 😂
Pour les bridges comme Safebridge mentionné, Everrise me paraît bien plus en avance en terme de sécurité, les équipes de Certik l'ont reconnu.
certik c'est une certification de chiotte, des dizaines de projets certifiés par eux ce sont déjà fait hacker, si tu veux une certification correct il y a bcp mieux exemple defisafety 0 hack sur leurs certifications
la preuve les BC les plus sures ne sont pas certifié certik, certik c'est juste un évaluation du SC et une mauvaise évaluation de surcroît
C’est très compliqué de vous suivre c’est un jour il faut en avoir un jour pas, personnellement je crois à la crypto et je reste droit dans mes bottes je penses que c’est comme les debuts d internet il y a des hauts et des bas, des couaks tout n’est pas parfait mais à terme c’est l’avenir, n’en déplaise a certain, il faudra être patient mais levtrain est lancé je vous conseil d’avoir un avis et de vous y tenir et de cesser devfaire la girouette a chaque événement
jeff galloway un autre richard heart, avec sa cryptochiotte de safecoin qui déjà en 2018 était foireuse à l'époque sur un fork de la BC de komodo et maintenant il nous refait le coup avec un fork de solana, mais ça reste toujours une crypto foireuse son safecoin, fait par un mec qui est obligé de fork les BC car incapable de faire une BC et il vient nous parler techno
soit tu parle un language d'une autre planète, soit un language codé
mon cerveau a tlm été manipulé que jarive a voir des chose qui ne son pas la meme que jarive a savoir quand ya dekoi ki se prépare sur moi san savoir ki pk jen parle ds mon live , mais j'espère que tu sais déjà sa haha ten que tu as pas été ds le crew de live me ki mon rage out et en me hacker,,, oui chui idio jetai au courent cmt la gamic etai et non j'ai continué car jme sentais bien , oublié pas jmisole pour votre sécurité je détesterai perde des amis aussi creatif et briant que vous haha
 ouais tu dois fumer de la bonne
Wahou, vont-ils supporter tous les échanges frauduleux et pendant combien de temps ???
Encore quelqu'un qui s'est fait lobotomiser par Christine Lagarde ahah. Il y a moins d'échanges frauduleux que sur le marché traditionnel
bloody personnes ma lobotomieser jtlmt zone out depui orignal les dernières a mavoir catfish j'étais deja au courant et si toute ses chose bizard se passe chez nous c que en plus davoir les yeux dea cam vous aver des passe ici mais sa depui debut je le sais ,,, je ne rie pas quand je zone out je voi des chose et je vie ses chose vien réel , jvoi ma femme et le dieu mercure qui lacompagne ma proposé de fuite ya longtemps mais sa présence est signe de richesse allor je suis heureux dans mes moments divague,, mais cmt faite vous pour l'hypnose??? les bruit de skyrim ou black ops ou le figdaire qui parle ensuite les ombre mirage ?? ses meme 9mbre qui 6filte sur la duperie supérieur 😳🤯👻👻👻👽👽
 c'est vraiment de la très bonne que tu prends c'est quoi de la  gorilla # 4, GSC
en fait non osef 120000 ethers c'est certe un gros montant mais ca aurait été fatale pour solana mais c'est tout la TVL de ether c'est 200 fois solana
Installez nos applications
Divulgation des risques: Négocier des instruments financiers et/ou des crypto-monnaies implique des risques élevés, notamment le risque de perdre tout ou partie de votre investissement, et cela pourrait ne pas convenir à tous les investisseurs. Les prix des crypto-monnaies sont extrêmement volatils et peuvent être affectés par des facteurs externes tels que des événements financiers, réglementaires ou politiques. La négociation sur marge augmente les risques financiers.
Avant de décider de négocier des instruments financiers ou des crypto-monnaies, vous devez être pleinement informé des risques et des frais associés aux transactions sur les marchés financiers, examiner attentivement vos objectifs de placement, votre niveau d'expérience et votre tolérance pour le risque, et faire appel à des professionnels si nécessaire.
Fusion Media tient à vous rappeler que les données contenues sur ce site Web ne sont pas nécessairement en temps réel ni précises. Les données et les prix sur affichés sur le site Web ne sont pas nécessairement fournis par un marché ou une bourse, mais peuvent être fournis par des teneurs de marché. Par conséquent, les prix peuvent ne pas être exacts et peuvent différer des prix réels sur un marché donné, ce qui signifie que les prix sont indicatifs et non appropriés à des fins de trading. Fusion Media et les fournisseurs de données contenues sur ce site Web ne sauraient être tenus responsables des pertes ou des dommages résultant de vos transactions ou de votre confiance dans les informations contenues sur ce site.
Il est interdit d'utiliser, de stocker, de reproduire, d'afficher, de modifier, de transmettre ou de distribuer les données de ce site Web sans l'autorisation écrite préalable de Fusion Media et/ou du fournisseur de données. Tous les droits de propriété intellectuelle sont réservés par les fournisseurs et/ou la plateforme d’échange fournissant les données contenues sur ce site.
Fusion Media peut être rémunéré par les annonceurs qui apparaissent sur le site Web, en fonction de votre interaction avec les annonces ou les annonceurs.
La version anglaise de ce document est celle qui s'impose et qui prévaudra en cas de différence entre la version anglaise et la version française.
© 2007-2024 - Fusion Media Ltd Tous droits réservés