Rendre les transactions DeFi sur Ethereum plus sécurisées

Rendre les transactions DeFi sur Ethereum plus sécurisées

Crypto royal

La finance décentralisée continue d’avoir son impact sur le marché de la crypto, et avec plus de 13 milliards de dollars de valeur totale des actifs verrouillés, les projets DeFi résonnent clairement avec les investisseurs de crypto désireux. Pourtant, alors que l’espace DeFi a progressé au cours de l’année dernière, un certain nombre de projets illégitimes se sont concrétisés, rappelant en partie le boom des ICO de 2017 et son effondrement ultérieur.

Par exemple, Harvest Finance, un protocole décentralisé majeur, a été récemment piraté. L’attaquant a récupéré 24 millions de dollars des pools de Harvest Finance. Plus récemment, Value DeFi, le protocole de financement décentralisé, a été victime d’un exploit de prêt flash de 6 millions de dollars. Et bien sûr, l’un des plus grands événements de l’année pour DeFi a impliqué SushiSwap, où le créateur a vendu 13 millions de dollars de fonds de développement, provoquant un krach boursier.

Il est important de souligner que la majorité des projets DeFi sont construits sur la blockchain Ethereum. Selon le site Web DeFiPrime, il existe actuellement plus de 200 projets DeFi sur le réseau Ethereum. Pourtant, alors qu’Ethereum semble être la plate-forme la plus appropriée pour les projets DeFi, les vulnérabilités du réseau ont joué un rôle important dans les hacks et les activités frauduleuses.

Les transactions contractuelles intelligentes sur Ethereum nécessitent une sécurité

Plus précisément, les contrats intelligents qui alimentent Ethereum sont connus pour être chargés de problèmes de sécurité, qui, à leur tour, ont grandement impacté les projets DeFi. De plus, les contrats intelligents appliqués à des projets DeFi d’une valeur de plusieurs milliards de dollars ne sont souvent pas audités au préalable.

Tom Lindeman, un ancien chercheur chevronné chez Microsoft et ancien directeur général de l’Ethereum Trust Alliance – un groupe de sociétés blockchain travaillant sur un système de sécurité pour les contrats intelligents – a déclaré à Crypto qu’il n’y a actuellement pas de bons moyens d’identifier si un contrat intelligent est sécurisé avant de lancer une transaction:

«L’espace DeFi vaut maintenant des milliards de dollars, mais un grand nombre de ces contrats intelligents utilisés ne sont jamais audités. En tant que tel, le secteur DeFi continue de connaître une vague d’activité qui amène des individus et des organisations à approuver des contrats de jetons, à échanger des jetons et à ajouter des liquidités aux pools en succession rapide sans pouvoir vérifier facilement la sécurité des contrats.

Pour tenter de résoudre les problèmes de sécurité liés aux contrats intelligents, Lindeman a rejoint le groupe de travail sur les niveaux de sécurité EthTrust nouvellement formé de l’Enterprise Ethereum Alliance en tant que coprésident. Selon Lindeman, la mission du groupe de travail sera de poursuivre les avancées initialement initiées par l’Ethereum Trust Alliance, ou ETA, qui visent à établir des normes pour les transactions contractuelles sécurisées et intelligentes menées sur la blockchain Ethereum.

Un système de registre pour les contrats intelligents notés

Lindeman a expliqué que l’ETA travaillait sur son projet EthTrust depuis près d’un an, avant même que l’espace DeFi ne commence à exposer les vulnérabilités des contrats intelligents Ethereum. Par coïncidence, le projet EthTrust s’est associé à l’Enterprise Ethereum Alliance au moment où l’espace DeFi gagnait du terrain.

Daniel Burnett, directeur exécutif de Enterprise Ethereum Alliance, a déclaré à Crypto que le moment choisi pour le nouveau groupe de travail était purement fortuit en ce qui concerne la montée en puissance de DeFi. Selon Burnett, le nouveau projet EthTrust démontre en outre que le réseau Ethereum mûrit. «Nous voulons aider à résoudre les problèmes que beaucoup de nos membres ont exprimés en ce qui concerne Ethereum», a-t-il déclaré.

Plus précisément, le nouveau groupe de travail prévoit de remédier aux vulnérabilités de sécurité dans les contrats intelligents en créant un système standard et de registre pour aider les utilisateurs à mieux comprendre comment différencier les contrats qui ont fait l’objet de contrôles de sécurité rigoureux. Bien que le projet soit toujours en cours de développement, l’objectif est de définir certaines exigences que les contrats intelligents doivent présenter pour être jugés sécurisés.

Par exemple, Pierre-Alain Mouy, membre de l’Enterprise Ethereum Alliance, ancien propriétaire de produit ETA et directeur général de NVISO Security en Allemagne, a déclaré à Crypto qu’un contrat intelligent peut atteindre trois niveaux de validation pour aider les individus à comprendre son niveau de confiance. :

«Nous avons commencé le projet en incluant trois niveaux différents de badges que les contrats intelligents peuvent gagner pour prouver son niveau de confiance. Le premier niveau consiste en un contrat intelligent en cours de travail grâce à l’automatisation. Les niveaux deux et trois sont des audits manuels par des humains pour s’assurer que les contrats sont sûrs et sécurisés. »

Mouy a déclaré que pour qu’un contrat intelligent atteigne un badge de niveau un, un outil d’analyse de sécurité automatisé sera exécuté par rapport au contrat. L’outil basé sur l’IA est conçu pour vérifier un ensemble d’exigences spécifiques que le groupe de travail est en train de définir.

Si un contrat intelligent continue au niveau deux, les individus effectueront un audit de sécurité. «Il y aura des définitions pour les sociétés d’audit, expliquant combien de temps elles ont besoin pour creuser dans ces contrats intelligents», a déclaré Mouy, ajoutant encore: «Finalement, un rapport d’audit sera créé pour que le groupe de travail l’examine manuellement. Cependant, nous ne sommes pas des auditeurs. Le groupe de travail sert de routeur pour vérifier que ces étapes sont bien suivies. »

Enfin, si un contrat intelligent atteint le niveau trois, des spécifications supplémentaires et des cas de test rédigés pour vérifier les propriétés du contrat seront exécutés. Selon Mouy, cela s’appelle le «processus de vérification formelle».

Une fois qu’un contrat intelligent a subi ce processus de vérification étape par étape, le système de registre de l’initiative permettra aux bourses, par exemple, de demander un niveau de notation spécifique avant que de nouveaux jetons ne soient répertoriés. Ce système pourrait également être appliqué à un consortium multi-membres qui s’appuie sur des contrats intelligents à des fins commerciales.

Intérêt croissant pour les contrats intelligents sécurisés

Selon Lindeman, le projet EthTrust a déjà suscité l’intérêt des utilisateurs quotidiens d’Ethereum qui souhaitent voir de nouvelles choses, telles que l’agriculture de rendement. Il a en outre partagé que la société Big Four PricewaterhouseCoopers a exprimé son intérêt pour l’utilisation de ce système pour fournir des évaluations de contrats intelligentes aux entreprises intéressées par l’espace blockchain.

L’intérêt croissant pour les contrats intelligents sécurisés est particulièrement important à mesure que l’infrastructure Ethereum progresse et que les avantages promis d’Ethereum 2.0 se concrétisent. Burnett pense que l’écosystème Ethereum verra une confiance accrue à l’avenir, ce qui sera démontré par de nouveaux projets utilisés par les entreprises, tels que le travail effectué par le protocole de base.

Bien qu’innovants, il est important de souligner que le nouveau groupe de travail de l’Enterprise Ethereum Alliance et le projet EthTrust ne sont pas les premiers à relever les défis liés à la sécurité des contrats intelligents. Par exemple, la société de sécurité de la blockchain Quantstamp effectue des audits de contrats intelligents et des contrôles de sécurité pour les entreprises de blockchain depuis 2017. Les clients de la société comprennent des acteurs majeurs du secteur tels que Binance et eToro. Quantstamp a récemment annoncé qu’il auditerait un nouveau projet DeFi sur la blockchain Polkadot.

En plus des cabinets de sécurité qui effectuent des audits, les entreprises trouvent également des moyens de garantir des contrats intelligents sécurisés. Par exemple, Vaiot, une société de blockchain qui utilise l’intelligence artificielle pour créer des services numériques pour les entreprises, exploite l’IA pour fournir la sécurité et les performances logicielles dans les contrats intelligents. Jakub Kobeldys, le développeur principal de Vaiot, a déclaré à Crypto que même si aucune quantité d’IA ne peut complètement protéger contre les failles du code, la technologie peut aider les développeurs de manière significative:

«Les techniques d’apprentissage non supervisé pourraient détecter de nouvelles failles de manière automatisée, ou au moins restreindre la zone de recherche et donner des conseils aux experts humains. Cela pourrait également conduire à un développement plus dynamique de frameworks qui aident les développeurs à coder de manière sécurisée. »