plus d'un milliard de $$$ volés via des ponts rien qu'en 2022
nous avons besoin de meilleures solutions
c'est pourquoi @union_build développe le pont le plus sécurisé que nous ayons dans la crypto
pour comprendre cela, nous devons examiner comment la plupart des hacks de ponts se produisent et ce que Union fait différemment
un fil đ§”
il existe 4 vulnĂ©rabilitĂ©s courantes des ponts qui ont Ă©tĂ© exploitĂ©es, passons en revue ces vulnĂ©rabilitĂ©s đđ»
1. Compromission de Multisig
certains ponts s'appuyaient sur un petit ensemble de clés (souvent des multisigs 3 sur 5 ou 5 sur 9) pour valider les transferts entre chaßnes
si ces clés sont compromises (via phishing, emplois internes, etc.), l'attaquant peut créer ou vider des fonds
le hack du Ronin Bridge Ă 625 millions de dollars en est un parfait exemple
l'attaquant a pris le contrÎle des clés de validation et a autorisé de faux retraits vers ses propres comptes
c'Ă©tait l'un des plus grands hacks de l'histoire de la crypto đš
2. Manipulation des Oracles / Relayers
Lorsque vous dĂ©pendez de tiers hors chaĂźne (oracles, relayers) pour vĂ©rifier les informations sur la chaĂźne, vous ĂȘtes vulnĂ©rable.
Si ces acteurs deviennent malveillants, ils peuvent mentir sur l'Ă©tat de la chaĂźne, provoquant un comportement incorrect sur la chaĂźne cible.
En 2022, LayerZero a Ă©tĂ© critiquĂ© par le chercheur en sĂ©curitĂ© @samczsun parce que leurs contrats avaient des relayers + oracles pouvant ĂȘtre mis Ă jour, contrĂŽlĂ©s par l'Ă©quipe.
C'était une vulnérabilité massive et si elle était compromise, les attaquants pouvaient voler tous les fonds passant par le protocole.
3. Bugs des contrats intelligents
la plupart des ponts ont des contrats intelligents complexes avec de nombreuses vulnérabilités possibles
le moindre bug peut permettre aux attaquants de contourner la validation ou de vider la liquidité
l'exploitation du pont Nomad Ă 190 millions de dollars en est le meilleur exemple
c'Ă©tait une faille de contrat Ă©tonnamment simple
une mise à jour de routine a par erreur fait en sorte que la vérification de validation renvoie toujours 'vrai'
n'importe qui pouvait copier-coller une ancienne transaction et déplacer les fonds du pont vers ses propres comptes
toute la communauté crypto a vu des gens copier-coller du code d'attaque depuis Twitter, c'était de la pure folie.
4. Risques des Tokens Enveloppés
De nombreux ponts utilisent des actifs enveloppés, qui ne valent que ce que vaut le pont qui les soutient.
Si le pont est compromis, les tokens enveloppés ne valent rien, il n'y a pas de véritable ETH à échanger.
Lors d'un hack de 321 millions de dollars, l'attaquant a exploité un bug dans le contrat intelligent de Wormhole qui lui a permis de créer 120 000 WETH sur Solana sans déposer d'ETH sur Ethereum.
Ils ont trompé le systÚme en lui faisant croire qu'ETH avait été déposé.
Wormhole a perdu 321 millions de dollars de fonds réels et a dû payer les utilisateurs de sa propre poche.
sans entrer dans les détails techniques (je suis trop limité pour ça) voici ce que @union_build fait différemment :
- pas de multisigs ni d'oracles
- ZK-Proofs pour la validation
- actifs natifs, pas de tokens enveloppés
le pont Union est-il absolument inviolable ? non, rien ne l'est
mais leur technologie supprime la plupart des points de défaillance centralisés, remplace la confiance par une preuve cryptographique, élimine les oracles/multisigs et évite le risque d'enveloppement
c'est aussi prĂšs que nous puissions atteindre la sĂ©curitĂ© totale aujourd'hui đż
3,15Â k
135
Le contenu de cette page est fourni par des tiers. Sauf indication contraire, OKX nâest pas lâauteur du ou des articles citĂ©s et ne revendique aucun droit dâauteur sur le contenu. Le contenu est fourni Ă titre dâinformation uniquement et ne reprĂ©sente pas les opinions dâOKX. Il ne sâagit pas dâune approbation de quelque nature que ce soit et ne doit pas ĂȘtre considĂ©rĂ© comme un conseil en investissement ou une sollicitation dâachat ou de vente dâactifs numĂ©riques. Dans la mesure oĂč lâIA gĂ©nĂ©rative est utilisĂ©e pour fournir des rĂ©sumĂ©s ou dâautres informations, ce contenu gĂ©nĂ©rĂ© par IA peut ĂȘtre inexact ou incohĂ©rent. Veuillez lire lâarticle associĂ© pour obtenir davantage de dĂ©tails et dâinformations. OKX nâest pas responsable du contenu hĂ©bergĂ© sur des sites tiers. La dĂ©tention dâactifs numĂ©riques, y compris les stablecoins et les NFT, implique un niveau de risque Ă©levĂ© et leur valeur peut considĂ©rablement fluctuer. Examinez soigneusement votre situation financiĂšre pour dĂ©terminer si le trading ou la dĂ©tention dâactifs numĂ©riques vous convient.