En août
Nomad, une plateforme qui permet aux utilisateurs de transférer des jetons entre différentes blockchains, a été victime d’un piratage qui a coûté près de 200 millions de dollars à ses utilisateurs.
![Un](https://www.coindesk.com/resizer/Xpqc7jxa_JvuyCXc47DnhepV33Y=/1056x792/filters:quality(80):format(jpg)/cloudfront-us-east-1.images.arcpublishing.com/coindesk/MBOXD357QFGHLLJOUOWIK7AUXQ.jpg)
Les instructions sur la façon d’exécuter l’attaque se sont répandues comme une traînée de poudre sur Twitter, transformant un braquage ponctuel en un acte gratuit et ouvert pour quiconque peut copier et coller des transactions sur la blockchain Ethereum.
Alors que les hackers black hat s’enfuyaient avec des millions
Les soi-disant « chapeaux blancs » – des Samaritains bien intentionnés – ont saccagé les fonds afin de les restituer à Nomad. Dans l’ensemble, les efforts de secours à la base ont permis d’éviter que plus de 38,5 millions de dollars ne tombent entre les mains des attaquants.
Les hackers chapeau blanc jouent un rôle clé dans la sécurisation de l’écosystème Web3
Cependant, selon DarkFi.eth (l’un des hackers qui ont utilisé Nomad pour sauver leurs fonds des attaquants), les hackers altruistes ne sont pas assez payés et sont un environnement juridique clair.
DarkFi.eth (sans rapport avec DarkFi
Une blockchain de couche 1 avec la philosophie Lunarpunk) est l’un des chapeaux blancs qui a volé le pont Nomad et a ensuite rendu environ 2 millions de dollars.
Lorsque DarkFi a vu des transactions suspectes entrer et sortir du contrat intelligent Nomad Bridge, le pirate a copié et collé le format de ces transactions d’apparence similaire dans sa propre nouvelle transaction. Soudain, certains des fonds de Nomad – appartenant techniquement aux utilisateurs de Nomad – sont apparus dans le portefeuille cryptographique de DarkFi.
Le pirate pseudonyme a agi rapidement
Rappelant dans une interview avec CoinDesk qu’il avait remarqué « la possibilité d’obtenir plus d’argent de [Nomad] avant que d’autres acteurs malveillants ne le prennent ».
DarkFi a répété plusieurs fois la mauvaise transaction (une
Deux, trois, quatre, cinq).
Intentions mises à part
DarkFi et d’autres chapeaux blancs ont effectué exactement les mêmes étapes que l’exploit Nomad : retirer des fonds sans la permission du propriétaire.
DarkFi voulait économiser plus d’argent
Mais a déclaré qu’il « ne prendrait pas plus d’argent » parce qu’il « s’inquiète des conséquences d’une telle décision ».
« Bien que j’aie pleinement l’intention de rendre l’argent
Ce n’est toujours pas clair », a déclaré DarkFi.
Les pirates qui analysent le code logiciel pour identifier les vulnérabilités potentielles sont identifiés par leurs chapeaux blancs et leurs chapeaux noirs métaphoriques.
Les chapeaux noirs exploitent délibérément les vulnérabilités qu’ils trouvent – en pillant des crypto-monnaies
En faisant chanter des entreprises ou en vendant leurs découvertes à des marchés criminels clandestins. Stephen Tong, co-fondateur du cabinet d’audit de sécurité Zellic.io, a qualifié les pirates de « mercenaires ».
« Les chapeaux noirs passent le plus clair de leur temps à penser à eux-mêmes, que ce soit à des fins lucratives ou de divertissement », a déclaré Tong à CoinDesk dans une interview.
« D’un autre côté
Les chapeaux blancs essaient strictement de faire ce qu’il faut. Ils essaient d’agir de bonne foi », a-t-il déclaré.
Dans le contexte du Web3
Les white hats alertent souvent les développeurs de protocoles lorsqu’ils trouvent des bogues qui doivent être corrigés. En échange de la divulgation responsable des bogues, les protocoles récompensent souvent les chapeaux blancs avec une sorte de prime.
Parfois
Comme dans le cas de Nomad, les chapeaux blancs trouvent une erreur très grave et décident de l’exploiter eux-mêmes – en protégeant les fonds à risque et en renvoyant les fonds au protocole contre le vol par de mauvais acteurs.
Dans ces cas
Comment et s’ils doivent être indemnisés peut devenir difficile pour le protocole de décider quand les intentions initiales des pirates sont difficiles à déterminer (peut-être ont-ils simplement retourné des fonds par peur des forces de l’ordre).
DarkFi met en évidence un problème courant pour les white hats
La divulgation de vulnérabilités.
Lorsqu’un pirate sait qu’un protocole est vulnérable et que des fonds sans l’autorisation du propriétaire risquent d’être retirés, le pirate présente deux options :
Si le chapeau blanc prend la première option et exploite l’échappatoire
« le statut juridique de ce que vous faites est en suspens. Techniquement, si vous faites du travail de chapeau blanc et volez de l’argent à des hackers de chapeau noir, vous pouvez toujours être poursuivi en justice. par le projet », a déclaré DarkFi.
Le problème avec la deuxième option est qu’une fois que vous avez informé le projet du bogue, le projet n’est pas incité à vous payer le montant total. Tong a déclaré que parce que les fonds ont été restitués ou que les lacunes ont été corrigées, le projet a perdu l’incitation à payer le montant maximum, et l’effet de levier du chapeau blanc est également moindre.
Dans les deux cas
Les hackers white hat veulent généralement être récompensés car ils évitent au protocole de subir une perte plus importante. Mais en même temps, les chapeaux blancs ne veulent pas être des extorqueurs – détenant des fonds ou des informations en otage à moins qu’ils ne soient « équitablement » indemnisés.
Le problème de divulgation de vulnérabilité est « un problème d’optimisation »
A déclaré Tong. « Parce que vous voulez minimiser la douleur pour les développeurs, les utilisateurs et les pirates ».
Si l’objectif est de minimiser la douleur pour les développeurs et les utilisateurs
Le projet corrigera simplement le bogue et ne donnera rien au pirate. Si l’objectif est de minimiser la douleur du pirate informatique, un projet paiera le pirate informatique, qui est le point douloureux de la personne responsable.
Est-il possible d’avoir un résultat équitable qui rende tout le monde heureux ?
Tong a déclaré
« Non … dans la plupart des scénarios de chapeau blanc, il n’y a absolument aucun scénario gagnant-gagnant. »
Avant que Stani Kulechov
Fondateur de la plateforme de prêt de finance décentralisée (DeFi) Aave, n’offre des chapeaux blancs avec des billets de fête, et avant que Nomad n’annonce « une prime allant jusqu’à 10% à Nomad, DarkFi a échangé sur trois transactions (une, deux, trois) retournées les fonds au pirate de pont Nomad, et Nomad considérerait toute personne ayant rendu au moins 90 % des fonds totaux du pirate comme un chapeau blanc. »
Si un pirate informatique volait 1 million de dollars
Retournait 900 000 dollars et empochait 100 000 dollars, Nomad considérerait le pirate informatique comme un chapeau blanc et n’intenterait pas de poursuites judiciaires.
DarkFi n’a pas encore reçu de ticket rAAVE de Kulechov
Ni de récompense de Nomad.
De plus
Citant la récompense de 400 ETH d’Arbitrum pour 0xriptide après que les pirates ont découvert une vulnérabilité critique de 400 millions de dollars, DarkFi a noté que la prime initiale n’était pas assez élevée, affirmant que les projets avaient tendance à être radins.
« Être un chapeau blanc devrait être un travail très bien rémunéré »
A-t-il déclaré.
« Il est important pour nous d’avoir une image plus claire de la façon dont nous apprécions les chapeaux blancs dans l’espace afin qu’il ne reste pas d’argent sur la table pour les chapeaux noirs à l’avenir », a déclaré DarkFi.
Nomad n’a pas répondu à une demande de commentaire par heure de presse.
Le mois dernier
Sam Bankman-Fried, PDG de l’échange de crypto-monnaie FTX, a proposé une nouvelle norme communautaire pour les pirates impliqués dans des failles de sécurité.
Une « norme 5-5 » qui donne la priorité à la protection des clients et des utilisateurs, en donnant la priorité à la restauration des clients avant de récompenser les pirates éthiques.
Selon Bankman-Fried
La norme n’est valable que si le pirate agit de bonne foi dès le départ. Pour être considéré comme un « bon acteur » ou un chapeau blanc par la communauté, les pirates doivent restituer au moins 95 % des fonds volés.
« Si le critère 5-5 est suivi
Il réduit historiquement l’impact des pirates de plus de 98% », a déclaré Bankman-Fried.
Le nombre de fois que des pirates informatiques ont bloqué l’exploitation de protocoles met en évidence les inquiétudes quant à la façon dont l’écosystème Web3 dépend trop d’eux pour détecter les vulnérabilités critiques.
Alors que les chapeaux blancs ont des responsabilités importantes dans la sécurité de l’écosystème crypto, « vous ne pouvez jamais compter sur les chapeaux blancs pour vous protéger car c’est la dernière ligne de défense », a déclaré Tong. « C’est comme la dernière grâce salvatrice pour vous empêcher d’être piraté, parce que si vous êtes « détesté par les blancs », ce n’est plus une bonne situation. »
Tong estime qu’à long terme
Des pratiques de développement plus approfondies et rigoureuses doivent être établies car « un centime de prévention vaut mieux que guérir ».
La divulgation de la vulnérabilité du chapeau blanc est « une urgence avec une doublure argentée. Même si quelqu’un pirate, votre argent vous est restitué », a déclaré Tong. « Le fait est [que] la vulnérabilité aurait dû être découverte lors du développement. Elle aurait dû être découverte lors d’un audit. »
💡 Ressources et références
« coindesk.com », de : In Praise of White-Hat Hackers, mais c’est stupide de trop se fier..