samedi, décembre 28, 2024

Comment HashEx développe de nouvelles méthodes d’audit pour déjouer les pirates informatiques, comme l’a raconté le fondateur Dmitry Mishunin

Au fur et à mesure que le marché de la crypto-monnaie s’est développé, le nombre d’acteurs malveillants qui cherchent à exploiter la finance décentralisée vulnérable, ou DeFi, les protocoles et les projets, a également augmenté pour leur propre profit. Plus tôt ce mois-ci, le pont de jetons Ethereum-Solana Wormhole a subi le plus gros piratage de 2022, avec 321 millions de dollars perdus en raison d’une vulnérabilité de vérification de signature. Ces exploits sont devenus de plus en plus sophistiqués au fil des ans.

Mais les entreprises de sécurité blockchain comme HashEx maintiennent le rythme tout comme les pirates améliorent leurs tactiques. Au cours des dernières années, HashEx a audité plus de 700 contrats intelligents DeFi qui sécurisent plus de 2 milliards de dollars de fonds d’investisseurs. Un projet notable qui utilise HashEx est Trader Joe, un échange décentralisé populaire sur la blockchain Avalanche (AVAX). Dans une interview exclusive avec Cointelegraph, Dmitry Mishunin, PDG et fondateur de HashEx, explique à quel point la société met à niveau son processus d’audit pour protéger les passionnés de crypto contre d’éventuelles violations.

La méthode d’audit à l’ancienne consiste en une vérification manuelle et un test automatique du code sous-jacent. Comme Dmitry l’a dit à Cointelegraph :

« Traditionnellement, un groupe d’auditeurs teste manuellement la logique des contrats ; ils essaient d’imaginer des valeurs d’entrée, ce qui peut casser leur logique. C’est comme des jeux olympiques pour les programmeurs. Mais cela n’est bon que lorsque votre auditeur est suffisamment expérimenté. « 

Parfois, poursuit Dmitry, « les problèmes ne peuvent pas être conjurés puis testés, car ils ne surviennent pas d’erreurs dans le flux logique du code, mais d’erreurs mineures comme dans la machine virtuelle Ethereum, ce qui se produit assez souvent ». Pour pallier ce défaut, HashEx a dérivé une nouvelle méthode de « test stochastique (aléatoire) ». À l’aide de l’IA, son logiciel génère 1 000 à 100 000 transactions aléatoires avec différentes tendances et paramètres pour tester le contrat intelligent.

« Avec des transactions aléatoires, cela ressemble à une simulation d’une personne avec une idée folle [commonly descriptive of hackers] créer quelque chose pour rompre le contrat. »

Lorsqu’on lui a demandé s’il y avait eu des violations dans les contrats intelligents audités par HashEx, Dmitry a été très humble dans sa réponse. En 2020, aucun des projets audités du cabinet n’a connu de piratage. Mais en 2021, deux incidents mineurs se sont produits sur des centaines de projets qui ont continué à être sécurisés. Un projet sur le réseau Avalanche a eu un problème critique dans le contrat audité et a perdu environ 100 000 $. Pendant ce temps, Dmitry a expliqué que l’autre incident n’était pas un piratage en soi, car le contrat avait un bogue qui empêchait les retraits de frais. « C’est le monde réel, parfois nous le manquons », explique Dmitry.