Répartition TL;DR
- La vague à laquelle les pirates informatiques frappent les protocoles crypto et DeFi continue d'augmenter.
- Plus de 7 milliards de dollars perdus à cause des attaques contre l'industrie de la cryptographie en 2021.
- Pourquoi les pirates continuent de cibler l'industrie de la cryptographie.
La vague à laquelle les pirates ont frappé l' DeFi et l'industrie de la crypto-monnaie par extension a continué d'être une source de préoccupation pour l'industrie.
Selon , 169 piratage dent blocs ont eu lieu en 2021, avec près de 7 milliards de dollars de fonds perdus par les pirates. Au cours du mois dernier, pas moins de cinq cas de piratage de crypto ont été signalés avec DeFi Cream Finance, le dernier à être touché par ces pirates. Plus de 130 millions de dollars auraient été volés.
Au lieu de cela, Cryptopolitan s'est entretenu avec Dmitry Mishunin, PDG et fondateur de HashEx, une société de R&D axée sur l'intégration de la blockchain dans les processus commerciaux et la cybersécurité . Dmitry possède tron formation technique en cybersécurité et en applications décentralisées, ainsi qu'une expérience impressionnante dans le développement de systèmes de sécurité de l'information.
Ci-dessous des extraits de l'interview
Q : Êtes-vous surpris par le nombre de piratages et d'exploits auxquels les utilisateurs sont confrontés ces derniers temps ?
Malheureusement non. Nous constatons que de plus en plus de personnes rédigent leurs contrats trac . Mais souvent, ils n'ont pas suffisamment de connaissances en programmation et une bonne compréhension de Solidity - actuellement le seul langage de programmation compatible avec Ethereum . Avoir une bonne compréhension du langage de programmation est indispensable pour créer un DeFi , et ne pas connaître certaines de ses nuances peut facilement conduire à des exploits et à des vols de fonds.
Q : Comment l'acceptation ou la signature d'un trac intelligent contenant un code malveillant peut-il entraîner le vol de vos actifs ?
Chaque utilisateur doit savoir que les transactions blockchain sont irréversibles : une fois que vous avez approuvé une certaine quantité d'un jeton ERC-20 dans un contrat intelligent ERC-20 trac il lui sera transféré de manière irréversible. Un trac peut avoir vérifié le code source sans exploits, mais peut également avoir une bibliothèque non vérifiée comme dépendance. Approuver des jetons à un tel trac est un gros risque car vous ne pouvez pas vérifier le fonctionnement de la bibliothèque.
Ce fut le cas dans le projet StableMarket, lorsqu'au moins 27 millions de dollars de fonds d'utilisateurs ont été volés. Les contrats du projet StableMarket trac un code audité mais ont été déployés avec une bibliothèque non vérifiée. Cette bibliothèque était malveillante et a volé les jetons des utilisateurs stockés dans le protocole.
trac évolutif : un tel trac peut être automatiquement matic à niveau avec un code malveillant et voler les jetons approuvés.
Souvent, les applications frontales approuvent des quantités maximales de jetons pour un trac , pas seulement le montant de jetons qui va être utilisé. Il est fait pour payer le gaz en une seule transaction. Si un utilisateur dépose des jetons sur un trac , il devra payer en plus le gaz. Mais si un trac agit de manière malveillante, dans ce cas, il peut retirer n'importe quelle quantité de jetons du portefeuille.
Ainsi, la meilleure pratique pour une sécurité maximale consiste à toujours vérifier le montant de l'approbation et à n'approuver que le montant requis pour l'opération trac .
Q : Les pirates deviennent-ils plus intelligents ou les utilisateurs de crypto-monnaie deviennent-ils moins prudents avec leurs procédures de cybersécurité ?
Les deux déclarations sont vraies. Les pirates ont fait de sérieux progrès dans l'exploitation des plateformes de prêt flash en tandem avec différents protocoles pour créer et exploiter des vulnérabilités. À elles seules, ces autres plates-formes sont sûres la plupart du temps, mais les prêts flash créent plus de complexité structurelle, ce qui rend les vulnérabilités plus fréquentes.
De telles attaques sont très complexes.
Même leur analyse prend beaucoup de temps. Et il y a aussi beaucoup de hacks de projets qui ont juste un code médiocre avec de simples bogues qui seraient très probablement éliminés si des tests étaient effectués ou si le code était correctement audité. Une partie de la faute incombe également aux utilisateurs, car nombre d'entre eux connaissent les pratiques sûres qui minimisent les risques, comme le stockage à froid, par exemple. Mais ils les ignorent souvent, perdant la tête devant une opportunité qui peut leur apporter un retour sur investissement multiple. Parfois, ils finissent tout simplement par perdre leur argent.
Q : Comment les utilisateurs peuvent-ils mieux protéger leurs actifs sur Metamask et les applications associées telles que OpenSea et DeFi ?
La meilleure protection n'est pas de stocker tous les actifs dans des portefeuilles chauds mais de les envoyer dans des portefeuilles froids : ces derniers n'ont pas accès à Internet.
Il est préférable de ne stocker qu'une petite quantité d'actifs nécessaires aux opérations dans des portefeuilles chauds et de conserver le reste dans un entrepôt frigorifique. En plus de cela, les utilisateurs doivent suivre les règles de sécurité standard : utilisez des antivirus, évitez d'ouvrir des liens suspects dans les e-mails et utilisez l'authentification à deux facteurs lorsque cela est possible.
Q : Pensez-vous que les piratages et les exploits deviendront plus courants à mesure que l'industrie se développera ?
Au fur et à mesure que l'industrie se développe et que de plus en plus de projets sont lancés, davantage d'entre eux risquent d'être piratés. Vous ne pouvez pas éliminer tous les bugs dans tous les projets, mais les sociétés de sécurité blockchain travaillent constamment à les minimiser. Cela ne comprend pas seulement des audits du code source des projets, mais également le développement d'outils analytiques qui aideront à empêcher complètement l'apparition des bogues, ou, du moins, à les trouver aux premiers stades du développement.
Q : Quel rôle HashEx joue-t-il dans l'expansion de l'industrie de la crypto-monnaie ?
Nous éclairons les gens sur la transparence et la sécurité de l'utilisation d'applications décentralisées. La logique de leur travail est trop complexe et peu claire pour qu'un utilisateur moyen puisse la comprendre. De plus, aucune personne sensée ne confierait son argent à quelque chose qu'elle ne comprend pas, comme Pinocchio au champ des Miracles. Nous expliquons des notions complexes en termes clairs et mettons en lumière les pièges que les gens doivent connaître et essayer d'éviter, et nous aidons également les investisseurs potentiels à prendre une décision éclairée sur leurs fonds.
Mais nous sommes principalement un cabinet d'audit centré sur DeFi et les crypto-monnaies. Cela signifie que nous effectuons de nombreux audits de contrats intelligents et trac ainsi les projets de cryptographie à gagner la confiance des investisseurs, car les investisseurs font mieux confiance aux projets qui sont bien protégés contre les erreurs coûteuses qui pourraient toucher financièrement leurs investisseurs.
Q : Que pensez-vous du G7 et du président américain Joe dent sur ses mesures pour mettre fin aux ransomwares, à la cybersécurité et aux fréquents piratages cryptographiques ?
L'amélioration constante des normes de sécurité fait partie de notre routine et de notre idéologie d'entreprise. Nous cherchons à apporter la confiance dans l'espace DeFi sans confiance. Et ce problème est crucial dans n'importe quel domaine informatique, pas seulement DeFi . Avec l'émergence rapide de nouveaux produits logiciels, l'aspect cybersécurité n'est malheureusement pas suffisamment pris en compte, ce qui crée des opportunités à exploiter pour les pirates. Il y a deux raisons principales à cela : la « programmation par clic de souris » et une main-d'œuvre de mauvaise qualité qui se voit proposer des salaires inutilement élevés.
Il s'agit d'un inconvénient des entreprises informatiques à croissance rapide. Dans cet environnement de chiens mangeurs de chiens, les entreprises essaient de prendre de l'avance les unes sur les autres, proposent de nouveaux produits et ferment souvent les yeux sur les problèmes de sécurité malgré leur importance. En conséquence, nous obtenons parfois de gros systèmes, qui sont utilisés par un grand nombre de clients, tout en contenant des bogues qui peuvent entraîner la perte des fonds des utilisateurs. Parfois, les conséquences de ces bugs peuvent même être à l'échelle du continent.
De ce point de vue, l'ingérence gouvernementale est tout à fait justifiée. Si les gouvernements des États n'étaient pas impliqués dans ces problèmes, qui d'autre réprimerait les hommes d'affaires avides et les convaincrait de consacrer des efforts aux mesures de sécurité et au développement de logiciels de manière sensée ?
Si les gens commencent à signaler les piratages aux agences gouvernementales, cela aura un effet positif. Des informations opportunes peuvent aider à minimiser les conséquences d'une panne potentielle en permettant d'engager des canaux de réserve (la situation de l'approvisionnement en pétrole de la côte est des États-Unis peut être considérée comme un bon exemple de cette pratique).
Des normes de sécurité unifiées dans l'ensemble de l'industrie feraient également du bien, si elles sont développées par des experts plutôt que par des étrangers. Même au stade précoce actuel du développement de DApp, nous constatons que de telles normes sont mises en œuvre par les principaux auditeurs. L'intégration de tels protocoles aidera tout le monde : cela rendra la programmation plus facile, les codes plus sûrs et cela protégera également les fonds des utilisateurs.
Q : Ces hacks parlent de leur impact sur l'industrie de la crypto-monnaie
Les commentaires pour l'industrie de la cryptographie sont une tentative de contrôler les fonds volés. Je pense que c'est une bonne chose. Actuellement, vous ne pouvez pas obtenir toutes les commodités du monde réel via la crypto-monnaie. Cette situation évolue de jour en jour, mais elle est loin d'être parfaite. Par conséquent, les pirates ont toujours besoin d'un pont entre les fonds crypto et fiat pour retirer les fonds acquis illégalement.
C'est à ce stade que les criminels peuvent dent identifiés. Plus on en trouve, moins il y en a qui seront prêts à recommencer. On peut repenser à la façon dont ils coupaient des parties du corps pour le vol dans les cultures orientales. De telles interventions des forces de l'ordre ont une influence tout à fait positive sur l'industrie de la cryptographie et sa réputation. Ces actions permettent aux gens de se sentir plus en sécurité.
Q : Les mauvais acteurs/joueurs derrière bon nombre de ces piratages cryptographiques, quelles sanctions leur recommanderiez-vous pour dissuader les autres ?
Comme je l'ai déjà dit, je suis tout à fait d'accord pour pénaliser de tels individus. Je considérerais ces opérations comme une fraude financière d'un degré de gravité variable et je leur appliquerais une action en justice correspondante. Je n'essaierais pas d'élaborer de nouvelles lois à ce moment-ci.
Q : Un monde crypto sans piratage est presque impossible à réaliser, comment les acteurs de la crypto, les décideurs politiques et tous les autres peuvent-ils réduire les attaques au strict minimum ?
Aucun domaine informatique n'est concevable sans cybermenaces. Mais lorsque nous parlons d'entreprises ordinaires, nous ne voyons que la pointe de l'iceberg, pas l'ensemble du tableau. Il y a beaucoup plus de piratages qui ont lieu qui sautent aux yeux, car les entreprises pourraient saper leur réputation si ces connaissances devenaient publiques. Avec les crypto-monnaies, tout est transparent et connu du public, de sorte que les médias écrivent plus souvent sur ces choses.
La cybersécurité est une pratique multidimensionnelle, qui comprend des cadres réglementaires aux points de sortie et d'entrée crypto-fiat, la formation des utilisateurs, des équipes de cybersécurité vérifiant le code, etc. Cette industrie est encore jeune, ce qui offre une excellente opportunité de l'orienter vers les bons vecteurs. de développement. De cette façon, nous pouvons utiliser des pratiques plus sûres dès le début, au lieu d'essayer de colmater des trous quelque part sur la route.
