5 incidents de sécurité impliquant les réseaux DAG et comment vous protéger

Les graphes acycliques dirigés (DAG) sont devenus une alternative prometteuse à la technologie blockchain. Contrairement aux blockchains, les DAG possèdent une structure unique dans laquelle les transactions sont liées de manière dirigée et non circulaire, avec de nouvelles façons de parvenir à un consensus. Cette innovation promet des vitesses de transaction plus rapides et une décentralisation plus élevée, ce qui en fait un choix attrayant pour les passionnés de cryptographie. Cependant, ils pourraient présenter leur propre ensemble de défis en matière de sécurité.

Il existe des programmes de bug bounty pour une raison, après tout. Cependant, jusqu’à présent, on peut affirmer qu’aucune structure DAG n’a été piratée. En revanche, leurs services associés, issus des réseaux sociaux et même des contrats intelligents, sont une autre histoire. Les cybercriminels cibleront les points les plus vulnérables, généralement en dehors du DAG lui-même, mais ciblant quand même ses utilisateurs.

Nous approfondirons certaines attaques impliquant des plates-formes DAG, en racontant cinq cas où leurs services associés ont été victimes de tentatives de piratage. En outre, nous explorerons les stratégies et les meilleures pratiques pour se protéger de telles menaces. Que vous soyez un investisseur chevronné ou un nouvel arrivant, comprendre ces défis est essentiel pour protéger vos actifs numériques dans un écosystème crypto de plus en plus complexe.

Nano + BitGrail

En 2018, le monde des crypto-monnaies a été témoin d’une faille de sécurité majeure impliquant l’échange italien de crypto-monnaie BitGrail et la monnaie numérique Nano (anciennement connue sous le nom de Raiblocks). Cette monnaie utilise un registre structuré comme un DAG (plus précisément, un treillis de blocs) et son système de consensus est assez similaire à une blockchain Proof-of-Stake (PoS).

L'incident a commencé lorsque BitGrail a signalé qu'une quantité importante de jetons Nano manquait sur sa plate-forme. Le fondateur de la bourse, Francesco Firano, a affirmé que le piratage avait entraîné le vol d'environ 17 millions de jetons Nano, soit l'équivalent d'environ 170 millions de dollars à l'époque.

Les conséquences du piratage de BitGrail ont été marquées par un différend controversé entre la direction de la bourse et l'équipe de développement de Nano. Firano a initialement suggéré que le code de Nano était responsable de la vulnérabilité, accusant les développeurs du vol. Il a exigé qu'un fork controversé (mise à jour) soit détenu par l'équipe Nano (pour effacer le hack), ce qu'ils ont refusé.

Des enquêtes plus approfondies ont ensuite révélé que les mesures de sécurité et les contrôles internes de BitGrail étaient inadéquats, conduisant à la compromission des fonds des utilisateurs. En effet, le piratage s'est produit juste à temps pour constater une hausse des prix du Nano, et Firano a caché que les violations se produisaient depuis 2017. BitGrail et Firano ont reçu au moins deux recours collectifs , et finalement, Firano a été jugé directement responsable de l'attaque.

Dans ce cas, le DAG n’a pas été attaqué, mais les utilisateurs ont fait confiance à la mauvaise entreprise. Dans les échanges centralisés, vous ne disposez pas de clés privées pour vos fonds. Au lieu de cela, seul un compte avec un mot de passe est fourni et les fonds sont entièrement sous la garde (contrôle) de cette société. S’ils perdent (piratage, faillite, etc.), alors vous perdez aussi. C'est pourquoi il est important de ne pas utiliser les plateformes d'échange comme portefeuilles permanents.

IOTA + Moonpay

IOTA est une plate-forme de crypto-monnaie qui utilise la technologie Directed Acyclic Graph (DAG) pour permettre des transactions plus rapides, et elle se concentre sur le secteur de l'Internet des objets (IoT). Contrairement aux blockchains, le Tangle DAG de l'IOTA permet aux utilisateurs de valider les transactions en en confirmant d'autres, mais il existe un nœud coordinateur ultime pour parvenir à un consensus. Ils comptent (depuis 2016) s'en débarrasser, mais en attendant, le coordinateur est contrôlé par la Fondation IOTA, et le réseau est centralisé.

Cela a été largement prouvé en février 2020, lorsque l’ensemble du réseau a été gelé par le coordinateur après une faille majeure. À l'époque, les pirates ont volé 8,5 millions de dollars du jeton natif de l'IOTA, MIOTA, directement aux utilisateurs, soit environ 2 millions de dollars à l'époque. L'IOTA Portefeuille Trinité a subi une faille de sécurité en raison d'une dépendance tierce de Moonpay (un service de paiement crypté), qui a compromis les graines du portefeuille des utilisateurs en chargeant des versions illicites du SDK de Moonpay à partir des serveurs de Moonpay.

Le cybercriminel attendait une nouvelle version de Trinity pour écraser les fichiers mis en cache et éliminer les traces. Des mesures immédiates ont été prises par la Fondation IOTA, notamment l'arrêt du coordinateur et la création d'un plan de gestion des incidents avec des mises à jour publiques de l'état. L’attaque impliquait une interception DNS, une modification de code et une utilisation abusive de clés API.

IOTA a répondu en développant des outils de migration pour les utilisateurs concernés, en améliorant les outils d'analyse et en collaborant avec des experts en sécurité et les forces de l'ordre. Trinity n'est plus utilisé et MoonPay collaboré avec eux pour résoudre le problème. Donc, encore une fois, il ne s’agissait pas d’un DAG violé mais d’un service externe qui y était lié.

Hedera Hashgraphe

Hedera Hashgraph est un système de grand livre distribué qui utilise des graphiques acycliques dirigés (DAG) pour le consensus. Chez Hedera protocole de potins , les nœuds partagent de nouvelles informations entre eux, atteignant progressivement un consensus grâce à plusieurs cycles de partage. Cet historique des événements de partage d’informations est représenté sous forme de hashgraph, un type de DAG. Ce système est breveté, mais il n'est pas exempt d'erreurs.

Le 9 mars 2023, le réseau Hedera Hashgraph a été victime à un exploit de contrat intelligent, entraînant le vol de divers jetons sur des échanges décentralisés (DEX) tels que Pangolin, SaucerSwap et HeliSwap. Les comptes d'utilisateurs de détail et les portefeuilles Hedera n'ont pas été affectés, mais l'attaquant a réussi à voler des jetons d'une valeur de près de 600 000 $. Ils comprenaient DAI Stablecoin, Tether USD, USD Coin et Wrapped HBAR.

Des mesures rapides ont été prises pour atténuer l'attaque. Les DEX et les ponts ont collaboré pour arrêter le flux de jetons sur le pont dans l'heure suivant l'alerte de la violation. L'équipe Hedera a désactivé l'accès proxy au réseau principal Hedera (grâce au réseau centralisé, comme IOTA), empêchant ainsi tout accès ultérieur des utilisateurs et de l'attaquant. Un correctif a été rapidement développé, testé et mis en œuvre dans les 41 heures suivant la découverte de la vulnérabilité.

Contrairement aux attaques précédentes dans d’autres DAG, cette fois, c’est le système natif qui a été compromis, en particulier sa couche de contrat intelligent. L’équipe a agi rapidement pour l’atténuer.

Réseau Sui + Discorde

Sui Network est un registre distribué lancé en mai 2023. Il divise les transactions en transactions simples (comme l'envoi d'argent) et complexes (comme les enchères en ligne). Les transactions simples ne nécessitent pas de consensus, mais transactions complexes utilisez des validateurs Proof-of-Stake (PoS) et un protocole de consensus basé sur DAG à haut débit appelé Bullshark.

Ce réseau a prouvé que la prévention est importante, notamment lorsqu'il s'agit de nouvelles technologies. Juste avant la sortie du réseau principal, la société de sécurité CertiK a découvert un bug critique dans le système. La faille était un bug de boucle infinie dans le code de Sui qui pouvait être déclenché par un contrat intelligent malveillant. Ce type d'attaque, connu sous le nom d'« attaque HamsterWheel », ne fait pas planter les nœuds mais les maintient en fonctionnement sans fin sans traiter de nouvelles transactions, rendant le réseau inutilisable.

Une fois le bug a été identifié , les développeurs de Sui ont rapidement mis en œuvre des correctifs pour atténuer son impact, et CertiK a confirmé que ces correctifs étaient déjà déployés. La Fondation Sui a attribué 500 000 $ à CertiK à titre de prime aux bogues. Cependant, ce n’était pas la seule menace à laquelle cette plateforme était confrontée.

Avant même le bug potentiel, en août 2022, le serveur Discord de Mysten Labs (créateurs de Sui) a été piraté. L'annonce a été partagée sur Twitter , où plusieurs utilisateurs se sont plaints d'avoir perdu des fonds à cause de l'événement. L'incident impliquait des pirates informatiques partageant un lien vers un prétendu parachutage sur le canal d'annonce du serveur. Depuis, ils ont renforcé leurs processus de sécurité et de vérification dans le chat.

Avalanche + DeFi

Avalanche est un autre protocole cryptographique qui utilise des structures DAG au lieu de blockchains. Il comporte différentes chaînes : la Contract Chain (C-Chain) pour les contrats intelligents, la Exchange Chain (X-Chain) pour des transferts de fonds rapides avec des frais faibles, et la Platform Chain (P-Chain) pour le staking et les récompenses. La X-Chain, en particulier, exploite la technologie DAG pour atteindre un débit élevé et une finalité rapide des transactions.

Plusieurs protocoles DeFi basés sur Avalanche ont fait face à d'importantes attaques au fil des années. Le premier piratage très médiatisé concernait la plateforme de prêt Vee Finance en septembre 2021. L'attaque s'est produite parce qu'ils s'appuyaient sur une seule source pour leurs informations sur les prix (oracle), et cette source ne gérait pas correctement les points décimaux. Cela a permis à l'attaquant de manipuler les prix et d'exécuter des transactions sur des paires qui n'étaient pas censées être négociées.

Cela a entraîné le retrait non autorisé de 8804,7 ETH et de 213,93 BTC (environ 36 millions de dollars à l'époque). Les jetons ont ensuite été reliés à Ethereum et restent en possession de l'attaquant. Vee Finance a suspendu les contrats de plateforme et les fonctions associées (ce qui démontre que la plateforme n'était pas aussi décentralisée que le terme DeFi l'indique), poursuivant activement ses efforts de récupération d'actifs. Cependant, ce n’était pas tout pour Avalanche. D’autres attaques viendraient avec le temps.

En février 2023, deux autres protocoles DeFi ont de nouveau été piratés : l'agrégateur multi-chaînes Dexible et le DEX Platypus. Dans le premier cas , l'attaquant a exploité la fonction selfSwap de l'application pour transférer plus de 2 millions de dollars de crypto auprès des utilisateurs qui avaient autorisé l'application à accéder à leurs jetons. Dexible a suspendu ses contrats et conseillé aux utilisateurs de révoquer les autorisations de jetons.

Dans le deuxième cas, Platypus perdu 8,5 millions de dollars dans une attaque de prêt flash. Le pirate informatique a exploité les contrats d'actifs du protocole à l'aide d'un contrat intelligent malveillant avec un code source non vérifié. Maintenant, à propos des trois cas, on peut dire que certains bugs ont échappé aux développeurs DeFi depuis le début, entraînant une perte de fonds.

Protégez-vous des risques DAG

Pour les utilisateurs moyens de plates-formes Directed Acyclic Graph (DAG), plusieurs mesures de sécurité et protections clés peuvent être appliquées pour atténuer les risques :

• Utilisez des services réputés : avant d'utiliser des services tiers, tels que des portefeuilles ou des échanges, effectuez vos recherches pour vous assurer qu'ils ont une bonne réputation en matière de sécurité. Évitez également de laisser de grandes quantités de crypto sur les échanges pendant des périodes prolongées.
• Sécurisez vos clés privées : si vous disposez de portefeuilles qui vous permettent de contrôler vos clés privées, utilisez-les. Cela signifie que vous avez un contrôle direct sur vos fonds. Les portefeuilles froids offrent une couche de sécurité supplémentaire.

• Utilisez des mots de passe forts et activez 2FA : lorsque vous traitez avec des comptes liés à la crypto-monnaie, utilisez des mots de passe forts et uniques. Pensez à utiliser un gestionnaire de mots de passe réputé pour assurer leur sécurité. Dans la mesure du possible, activez l'authentification à deux facteurs (2FA) sur vos comptes.

  
  

• Restez informé : restez informé des dernières nouvelles et développements concernant la plateforme DAG que vous utilisez. Comprendre les vulnérabilités potentielles peut vous aider à prendre des mesures préventives.
• Méfiez-vous des escroqueries par phishing : méfiez-vous des e-mails, messages ou sites Web de phishing visant à voler vos informations de connexion ou vos clés privées. Vérifiez toujours les URL et les sources.

• Examinez régulièrement les autorisations : pour les applications ou les services qui demandent l'autorisation d'accéder à votre portefeuille ou à vos jetons, examinez et révoquez ces autorisations lorsqu'elles ne sont plus nécessaires.

• Diversifiez vos investissements : évitez de placer tous vos actifs dans une seule crypto-monnaie ou plateforme. La diversification peut contribuer à répartir les risques.

  
  

Jusqu'à présent, Obyte (également une plate-forme crypto-DAG) n'a pas subi de piratage très médiatisé sur son système ou ses services associés. Cela ne signifie pas pour autant qu’ils sont à l’abri des attaques. Un programme de bug bounty est actif sur Immunefi, avec des récompenses élevées pour les développeurs qualifiés. Cependant, il est toujours important d'appliquer les meilleures mesures de sécurité sur votre propre portefeuille et faites vos propres recherches pour chaque plateforme !

Image vectorielle en vedette par Freepik