Le hack de Nomad: les cross-chain bridges toujours vulnerables
? Les ponts cross-chain jouent un rôle important dans la construction d’un monde multi-blockchain, mais ils doivent évoluer.
Les ponts cross-chain sont des protocoles qui permettent aux utilisateurs de transférer des actifs et des informations entre différentes blockchains, et ils sont désormais la proie préférée des hackers. L’exploit de Nomad de la semaine dernière était le 13e de ce type jusqu’à présent en 2022, portant le montant total de crypto volé à un énorme 2 milliards de dollars. Selon les données de Chainalysis, les hacks de ponts cross-chain représentent désormais 69 % du total des vols de crypto cette année.
? La raison pour laquelle les ponts sont devenus si convoités par les hackers est qu’ils introduisent un point de centralisation, à travers lequel beaucoup de valeur circule. La plupart des ponts ont un fonctionnement assez simple : un contrat intelligent bloque les fonds des utilisateurs sur une chaîne, et un autre contrat intelligent émet leur équivalent » enveloppé » sur une autre chaîne. Trouver un bug dans l’un de ces contrats équivaut à toucher le jackpot, et la plupart des hacks des ponts, que ce soit Nomad, Wormhole ou Qbridge, suivent ce scénario.
⚠️ Centralisation = danger, ce qui suggère que les ponts décentralisés pourraient faire un meilleur travail.
Certains protocoles comme Multichain ou cBridge tentent d’éviter le problème du point de défaillance unique en introduisant des mécanismes de type blockchain gérant les fonds des deux côtés du pont. Cependant, les bugs de code ne pardonnent pas, quel que soit le type de protocole, et la vulnérabilité du code de Multichain a été exploitée au début de l’année.
La notion de décentralisation est à prendre au sérieux, comme l’a montré le célèbre hack du Ronin bridge d’Axie Infinity. 620 millions de dollars, c’est le prix à payer pour se rendre compte qu’une structure aussi critique qu’un pont a besoin de plus de 9 validateurs, dont 4 travaillent dans la même entreprise : un pirate s’est infiltré dans l’ordinateur d’un employé de Sky Mavis via une offre d’emploi de phishing et a eu accès à sa clé privée, ainsi qu’à celles de ses collègues et même à celle d’Axie DAO, qui a autorisé Sky Mavis l’année dernière. Depuis l’incident, le pont Ronin a été remanié, et ses développeurs ont annoncé leur intention d’augmenter le nombre de validateurs à 24 (ils en ont enregistré 19 jusqu’à présent).
Chaque piratage d’un protocole cryptographique nuit à l’ensemble de l’espace, et les ponts inter-chaînes doivent sérieusement reconsidérer leur structure pour réduire leurs points de défaillance. À long terme, les protocoles de pontage qui ont le plus de chances de réussir pourraient être ceux qui parviendront à une véritable décentralisation.
