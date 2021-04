On a beaucoup parlé des récents «hacks» dans le domaine de la finance décentralisée, en particulier dans les cas de Harvest FInance et Pickle Finance. Ce discours est plus que nécessaire, étant donné que les pirates ont volé plus de 100 millions de dollars aux projets DeFi en 2020, ce qui représente 50% de tous les hacks cette année, selon un rapport de CipherTrace.

Certains soulignent que les événements n’étaient que des exploits qui ont mis en lumière les vulnérabilités des contrats intelligents respectifs. Les voleurs n’ont pas vraiment pénétré dans quoi que ce soit, ils ont juste franchi la porte arrière non verrouillée. Par cette logique, puisque les hackers exploitaient des failles sans réellement pirater au sens traditionnel, l’acte d’exploiter est éthiquement plus justifiable.

Mais est-ce vrai?

Les différences entre un exploit et un hack

Les vulnérabilités de sécurité sont à l’origine des exploits. Une vulnérabilité de sécurité est une faiblesse dont un adversaire pourrait profiter pour compromettre la confidentialité, la disponibilité ou l’intégrité d’une ressource.

Un exploit est le code spécialement conçu que les adversaires utilisent pour tirer parti d’une certaine vulnérabilité et compromettre une ressource.

Même la mention du mot «hack» en référence à la blockchain pourrait dérouter un étranger du secteur moins familier avec la technologie, car la sécurité est l’une des pièces maîtresses de l’attrait général de la technologie du grand livre distribué. Il est vrai que la blockchain est un moyen d’échange d’informations intrinsèquement sécurisé, mais rien n’est totalement inattaquable. Il existe certaines situations dans lesquelles les pirates peuvent obtenir un accès non autorisé aux blockchains. Ces scénarios incluent:

51% d’attaques: De tels hacks se produisent lorsqu’un ou plusieurs hackers prennent le contrôle de plus de la moitié de la puissance de calcul. C’est un exploit très difficile à réaliser pour un pirate informatique, mais cela arrive. Plus récemment, en août 2020, Ethereum Classic (ETC) a fait face à trois attaques réussies à 51% en l’espace d’un mois.Erreurs de création: Celles-ci se produisent lorsque des problèmes de sécurité ou des erreurs sont ignorés lors de la création du contrat intelligent. Ces scénarios présentent des failles au sens le plus puissant du terme.Sécurité insuffisante: Lorsque des piratages sont effectués en obtenant un accès indu à une blockchain avec de faibles pratiques de sécurité, est-ce vraiment aussi grave que la porte soit laissée grande ouverte?

Les exploits sont-ils plus justifiables éthiquement que les hacks?

Beaucoup diront que faire quoi que ce soit sans consentement ne peut pas être considéré comme éthique, même si des actes pires auraient pu être commis. Cette logique soulève également la question de savoir si un exploit est illégal à 100%. Par exemple, avoir une société américaine enregistrée dans les îles Vierges peut également être considérée comme un «exploit» fiscal légal, même si cela n’est pas considéré comme extérieurement illégal. En tant que tel, il existe certaines zones d’ombre et des failles dans le système que les gens peuvent utiliser à leur propre avantage, et un exploit peut également être considéré comme une faille dans le système.

Ensuite, il y a des cas tels que le cryptojacking, qui est une forme de cyberattaque dans laquelle un pirate informatique détourne la puissance de traitement d’une cible pour extraire la crypto-monnaie au nom du pirate. Le cryptojacking peut être malveillant ou non.

Il est peut-être plus sûr de dire que les exploits sont loin d’être éthiques. Ils sont également tout à fait évitables. Dans les premières étapes du processus de création de contrat intelligent, il est important de suivre les normes les plus strictes et les meilleures pratiques de développement de la blockchain. Ces normes sont définies pour éviter les vulnérabilités, et les ignorer peut entraîner des effets inattendus.

Il est également vital pour les équipes de réaliser des tests intensifs sur un réseau de test. Les audits de contrats intelligents peuvent également être un moyen efficace de détecter les vulnérabilités, bien qu’il existe de nombreuses sociétés d’audit qui émettent des audits pour peu d’argent. La meilleure approche serait que les entreprises obtiennent plusieurs audits de différentes entreprises.

Les points de vue, pensées et opinions exprimés ici sont la seule de l’auteur et ne reflètent ni ne représentent nécessairement les points de vue et opinions de Cointelegraph.

Pawel Stopczynski est le chercheur et directeur R&D chez Vaiot. Il était auparavant directeur R&D et co-fondateur chez Veriori et UseCrypt. Depuis 2004, Pawel a participé au développement de 18 projets informatiques en Pologne et au Royaume-Uni, en se concentrant sur le secteur privé. Il a été conférencier à plusieurs conférences informatiques et organisateur de deux conférences TEDx. Pour son travail, Pawel a reçu une médaille d’or au Concours Lépine International Innovation Fair 2019 à Paris, et une médaille d’or du ministre français de la Défense.