Alors que la confiance dans les audits faiblit, la communauté DeFi réfléchit aux alternatives de sécurité

Alors que la confiance dans les audits faiblit, la communauté DeFi réfléchit aux alternatives de sécurité

Japan crypto

Alors que les attaques lancées contre les protocoles de finance décentralisée (DeFi) populaires deviennent de plus en plus complexes, l’efficacité des audits des grandes entreprises de sécurité a à son tour fait l’objet d’un examen minutieux – et certains membres de la communauté DeFi ont déjà commencé à créer des alternatives locales.

«Je pense que maintenant, après tous les hacks que nous avons eu, nous comprenons fondamentalement que si vous avez deux audits, trois audits, cela ne signifie pas que vous êtes en sécurité», a déclaré le co-fondateur de DeFi Italy Emiliano Bonassi dans une interview avec Crypto. “Cela ne veut pas dire que les audits n’ont aucune valeur en ce moment, mais ce ne sont pas des balles d’argent.”

C’est cette nouvelle réalité qui a poussé Bonassi à former ReviewsDAO. Un simple forum pour connecter les experts en sécurité et les projets à la recherche d’un regard supplémentaire, dans les trois jours qui ont suivi son lancement, ReviewsDAO a déjà attiré quatre évaluateurs bénévoles (dont Bonassi) et a jumelé deux examinateurs à un projet.

Bonassi et ReviewsDAO ne sont pas seuls non plus. Code 423n4 est un autre projet visant à relancer un mouvement de sécurité au sein de l’écosystème, en tirant parti d’une torsion expérimentale et ludique des primes de bogues. Et de même Immunefi, une autre plate-forme de primes DeFi lancée en décembre de l’année dernière, révise le modèle de divulgation de sécurité en faisant pression pour plus de 10% des fonds vulnérables en récompense.

Le modèle d’Immunefi, en particulier, a déjà fait des vagues, obtenant avec succès un chapeau blanc d’une récompense de 1,5 million de dollars.

Trois nouveaux projets émergent en seulement deux mois, et chacun avec son propre modèle d’incitation – il s’agit d’un effort à l’échelle de l’industrie Stani Kulechov, le fondateur de la plate-forme de prêt DeFi Aave, estime qu’il sera essentiel pour la santé et la sécurité de l’espace à l’avenir.

«Les auditeurs ne sont pas là pour garantir la sécurité d’un protocole, ils aident simplement à repérer quelque chose dont l’équipe elle-même n’était pas au courant. Finalement, il s’agit d’un examen par les pairs et nous devons trouver en tant que communauté des incitations pour permettre à davantage d’experts en sécurité de pénétrer dans l’espace. »

“Pas de balles d’argent”

Bonassi devrait être un nom familier à quiconque a suivi la récente vague d’exploits. Le développeur italien fait partie de la demi-douzaine de pirates au chapeau blanc qui se réunissent fréquemment à la suite d’une attaque dans le but de reproduire l’exploit et d’aider les projets à corriger les vulnérabilités.

Demandez à n’importe quel fondateur de DeFi à propos de Bonassi et de ses camarades «war room» post-exploit, et ils ne tarderont pas à chanter leurs louanges.

«La communauté DeFi a la chance d’avoir des whitehats tels que Samczsun et Emiliano. Leurs efforts […] rend l’espace non seulement plus sûr, mais met également en évidence le récit selon lequel il y a beaucoup de personnes dans notre écosystème qui se soucient du succès de l’espace », a déclaré Kulechov.

Alors que les compétences de réponse des whitehats sont largement appréciées, ReviewsDAO est en quelque sorte un effort pour réduire la fréquence à laquelle les projets en ont besoin.

Pour Bonassi, la tension entre les besoins des projets et les ressources limitées des cabinets d’audit affaiblit la sécurité de l’espace Defi au sens large: les auditeurs sont toujours occupés, mais les équipes au cœur de la course à l’innovation DeFi doivent rester agiles. Même si un projet peut souhaiter un audit sur quelques petits changements, la disponibilité et les coûts nécessitent souvent une commande plus importante, entraînant une «segmentation» du code.

«Puisqu’ils ne sont pas disponibles, vous préparez généralement un tas de choses que vous voulez examiner et leur expédiez. L’interaction est vraiment, disons «basée sur des instantanés», plutôt qu’une collaboration continue », a déclaré Bonassi.

Alors, comment permettre des revues de sécurité plus fréquentes qui répondent mieux aux besoins des projets? Bonassi dit qu’il a initialement envisagé une subvention Gitcoin pour un groupe de whitehat comme une solution, mais a finalement déterminé qu’un tel modèle serait trop centralisé et ne pourrait pas évoluer. Aucun de ses pairs whitehat ne savait non plus comment résoudre le problème, alors il a opté pour la simplicité.

“Si vous n’avez aucune idée, partez de l’essentiel: démarrez un forum, disons un” marché “, où les gens peuvent demander des avis petits ou grands et également offrir leur expertise.”

Il ne vise pas à remplacer entièrement les audits et les sociétés d’audit, note Bonassi, et envisage plutôt le DAO comme celui qui peut aider les jeunes projets à mieux se préparer à un audit en fournissant un «examen continu» et un «audit liquide».

C’est un modèle qui, selon Maurelian, expert en sécurité chez OptimismPBC, laisse de la place aux grands cabinets d’audit, tout en reconnaissant qu’il doit également y avoir d’autres solutions de sécurité.

«À l’OMI, il y a une valeur réelle à un audit par un cabinet de haute qualité, et rien d’autre ne sert vraiment d’alternative, mais je pense également qu’il y a un problème de dépendance excessive aux audits pour assurer la sécurité», a-t-il déclaré.

Bonassi pense également que ReviewsDAO pourrait éventuellement devenir une sorte d ‘«université» d’audit, où les personnes ayant des connaissances spécialisées peuvent se diversifier dans d’autres domaines et les jeunes développeurs peuvent devenir des auditeurs à part entière – à la fois en prenant en compte et en renforçant les ressources de développement de DeFi.

«Mon objectif est également de cartographier les personnes et les projets – avoir un endroit transparent où les gens peuvent échanger des informations, nous aide à comprendre combien de personnes qui sont, fondamentalement, suffisamment bonnes du point de vue de la sécurité, sont présentes dans l’écosystème.

La peau dans le jeu

Bien qu’il réponde à un besoin clair du marché, Bonassi affirme qu’il n’y a actuellement aucun plan de monétisation ou de jeton ReviewsDAO.

«Je pense que des initiatives comme celle-ci devraient être des biens communautaires», soutient-il.

Cet effort pour éviter les incitations en capital est plus qu’un simple idéalisme. Ces nouveaux projets d’audit surviennent parce que le modèle actuel n’est pas totalement viable, dit Bonassi – un modèle «transactionnel», ce qui signifie que les auditeurs n’ont pas la peau du jeu qu’un partenaire plus engagé. En conséquence, l’ensemble du paysage DeFi (celui que les auditeurs devraient ostensiblement garantir) souffre.

«Ce n’est pas une relation. Ce n’est pas un partenariat », dit Bonassi.

Néanmoins, même le bien public bénéficie souvent d’un financement public, et la question reste ouverte de savoir si les développeurs – qui sont souvent surchargés de travail au départ – seront prêts à donner du temps à ce qu’André Cronje appelle le «tarif Emiliano Bonassi»: pour aucune autre récompense que le reconnaissance.

Bonsai note que plusieurs fondateurs majeurs du protocole DeFi ont offert des subventions, qui jusqu’à présent ont été refusées. Il est têtu de voir si les développeurs sont prêts à redonner à l’espace qui leur est souvent donné, même s’il existe d’autres options potentiellement lucratives.

«Ce dont nous avons vraiment besoin dans cet écosystème, c’est de plus de gens qui y travaillent – disons, quelqu’un peut me détester, mais moins de fourchettes s’il n’ajoute pas de valeur […] Je ne veux pas finir à l’ère des ICO. Je ne veux pas revenir en 2017. »

Les premiers retours sur l’effort sont prometteurs. Couverture / protocole d’assurance Cover a été le premier projet à être jumelé à un évaluateur via ReviewsDAO.

«C’était génial», déclare Pumpkin, un développeur principal pour Cover Protocol et Ruler Protocol. «J’étais l’un des rares avec qui Emiliano avait partagé l’idée juste avant sa sortie. Je l’ai tout de suite adoré car c’est ce que je recherchais (pour obtenir des révisions de code externes et plus facilement et rapidement) […] Je ne suis pas sûr de ce qui ressortira de cet examen, mais le forum fonctionne certainement bien comme prévu. »

Maurelian croit également qu’il y a de l’espoir pour le modèle peut-être idéaliste – et qu’il pourrait être plus transactionnel qu’il n’y paraît à première vue.

“Tu reçois ce que tu donnes. Donc, participer à un projet comme celui-ci est probablement une bonne idée si vous prévoyez d’être dans l’espace sur le long terme », a-t-il déclaré.

Même si certains développeurs donnent du temps pour s’attirer les faveurs futures, Emiliano reste résolu dans sa vision selon laquelle les efforts de sécurisation de l’écosystème doivent venir d’un lieu d’altruisme et d’amour.

«C’est l’idéal que nous devrions promouvoir. Et comme nous avons beaucoup d’argent et que cette industrie a beaucoup d’argent, vous n’êtes pas censé avoir besoin de primes, vous êtes censé le faire parce que vous aimez cette industrie. C’est un appel à toutes les personnes qui souhaitent développer l’écosystème. »