Le fondateur Ethereum réagit à la faille zkLend et met en avant le mécanisme de confidentialité de Railgun

Vitalik Buterin, cofondateur Ethereum , a salué le protocole de confidentialité Railgun pour avoir empêché avec succès un pirate de blanchir des fonds volés. Sa réaction met en lumière Railgun, un mécanisme de partage de données financières visant à garantir la confidentialité des transactions tout en mettant en œuvre des mesures pour lutter contre la fraude endémique.

Le 12 février, un attaquant a exploité une faille de précision d'arrondi sur zkLend, un protocole de marché monétaire de Starknet, et a dérobé 3 600 ETH, soit l'équivalent de 9,5 millions de dollars à l'époque. Le pirate a alimenté le « lending_accumulator » en y déposant et en retirant continuellement wstETH, puis en transférant les actifs vers Ethereum.

De plus, lors du transfert des fonds volés vers Railgun, un protocole axé sur la confidentialité et utilisant la preuve à divulgation nulle de connaissance, l'attaquant s'est trouvé dans l'incapacité de gérer les actifs. La fonction de preuve d'innocence privée de Railgun a également empêché l'intégration de fonds illicites au sein du système de confidentialité.

Les actifs volés se trouvent toujours dans le portefeuille du pirate, qui a été identifié par des scanners de blockchain. Dans une publication jeudi, Buterin a réagi à la réponse de Railgun, affirmant qu'il s'agissait d'une des meilleures démonstrations du bon fonctionnement des pools de confidentialité. Il a également souligné que le système n'avait pas permis l'exécution d'opérations illégales sans entraîner de surveillance ou de portes dérobées.

Les pools de confidentialité comme solution de conformité

Cetdent illustre les préoccupations actuelles concernant l'application de la réglementation aux technologies de protection de la vie privée basées sur la blockchain. Récemment, des efforts ont été déployés pour fermer les services de mixage de cryptomonnaies, notamment Tornado Cash et Bitcoin Fog, étroitement liés au blanchiment d'argent. Contrairement à d'autres services de mixage, Railgun adopte une approche fondée sur la conformité, ce qui lui permet de bloquer tout fonds lié à des activités illicites.

L'équipe de zkLend a tenté de contacter un pirate informatique afin de conclure un accord : il conserverait 10 % de l'argent volé et restituerait le reste. Cependant, le pirate n'a pas encore répondu.

« À l’auteur de l’attaque : nous comprenons que vous êtes responsable de l’attaque d’aujourd’hui contre zkLend. Vous pouvez conserver 10 % des fonds à titre de prime éthique et renvoyer les 90 % restants, soit 3 300 ETH exactement, à cette Ethereum : 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C »

zkLend

Actuellement, les équipes de sécurité de StarkWare, de la Fondation Starknet, Binance Security et d'autres sociétés d'analyse surveillent cette adresse. Buterin a fait ces commentaires après que le chercheur en menaces Vladimir S. a signalé que les pirates ayant piraté zkLend comptaient blanchir les fonds via Railgun. Le protocole a déclenché l'alerte et rejeté la transaction, démontrant ainsi son efficacité pour prévenir les abus.

Le piratage de zkLend met en lumière le problème crucial de la confidentialité et de la conformité dans l'écosystème décentralisé. Si la transparence est utile pour la sécurité, l'affichage public des fonds volés pourrait compromettre l'anonymat financier des utilisateurs de portefeuilles numériques.

Buterin préconise l'utilisation d'outils de protection de la vie privée conformes aux normes réglementaires. En 2023, il a co-écrit un article de recherche sur Privacy Pool, un cadre visant à faciliter les transactions privées tout en dissuadant les activités criminelles.

Pour les développeurs qui ne prennent pas en charge le système de filtrage de Railgun, Buterin suggère de créer des groupes de confidentialité avec des critères de filtrage différents. Cependant, ces solutions doivent être soutenues par une communauté qui garantit un anonymat solide.