Les graphes acycliques dirigés (DAG) sont devenus une alternative prometteuse à la technologie blockchain. Contrairement aux blockchains, les DAG possèdent une structure unique dans laquelle les transactions sont liées de manière dirigée et non circulaire, avec de nouvelles façons de parvenir à un consensus. Cette innovation promet des vitesses de transaction plus rapides et une décentralisation plus élevée, ce qui en fait un choix attrayant pour les passionnés de cryptographie. Cependant, ils pourraient présenter leur propre ensemble de défis en matière de sécurité. Il existe des programmes de bug bounty pour une raison, après tout. Les cybercriminels cibleront les points les plus vulnérables, généralement en dehors du DAG lui-même, mais ciblant quand même ses utilisateurs. Cependant, jusqu’à présent, on peut affirmer qu’aucune structure DAG n’a été piratée. En revanche, leurs services associés, issus des réseaux sociaux et même des contrats intelligents, sont une autre histoire. Nous approfondirons certaines attaques impliquant des plates-formes DAG, en racontant cinq cas où leurs services associés ont été victimes de tentatives de piratage. En outre, nous explorerons les stratégies et les meilleures pratiques pour se protéger de telles menaces. Que vous soyez un investisseur chevronné ou un nouvel arrivant, comprendre est essentiel pour protéger vos actifs numériques dans un écosystème crypto de plus en plus complexe. ces défis Nano + BitGrail En 2018, le monde des crypto-monnaies a été témoin d’une faille de sécurité majeure impliquant l’échange italien de crypto-monnaie BitGrail et la monnaie numérique Nano (anciennement connue sous le nom de Raiblocks). Cette monnaie utilise un registre structuré comme un DAG (plus précisément, un treillis de blocs) et son système de consensus est assez similaire à une blockchain Proof-of-Stake (PoS). a commencé lorsque BitGrail a signalé qu'une quantité importante de jetons Nano manquait sur sa plate-forme. Le fondateur de la bourse, Francesco Firano, a affirmé que le piratage avait L'incident entraîné le vol d'environ 17 millions de jetons Nano, soit l'équivalent d'environ 170 millions de dollars à l'époque. Les conséquences du piratage de BitGrail ont été marquées par un différend controversé entre la direction de la bourse et l'équipe de développement de Nano. Firano a initialement suggéré que le code de Nano était responsable de la vulnérabilité, accusant les développeurs du vol. Il a exigé qu'un fork controversé (mise à jour) soit détenu par l'équipe Nano (pour effacer le hack), ce qu'ils ont refusé. En effet, le piratage s'est produit juste à temps pour constater une hausse des prix du Nano, et Firano a caché que les violations se produisaient depuis 2017. BitGrail et Firano ont reçu au moins , et finalement, Firano a été jugé directement responsable de l'attaque. Des enquêtes plus approfondies ont ensuite révélé que les mesures de sécurité et les contrôles internes de BitGrail étaient inadéquats, conduisant à la compromission des fonds des utilisateurs. deux recours collectifs Dans ce cas, le DAG n’a pas été attaqué, mais les utilisateurs ont fait confiance à la mauvaise entreprise. Dans les échanges centralisés, vous ne disposez pas de clés privées pour vos fonds. Au lieu de cela, seul un compte avec un mot de passe est fourni et les fonds sont entièrement sous la garde (contrôle) de cette société. S’ils perdent (piratage, faillite, etc.), alors vous perdez aussi. C'est pourquoi il est important de ne pas utiliser les plateformes d'échange comme portefeuilles permanents. IOTA + Moonpay IOTA est une plate-forme de crypto-monnaie qui utilise la technologie Directed Acyclic Graph (DAG) pour permettre des transactions plus rapides, et elle se concentre sur le secteur de l'Internet des objets (IoT). Contrairement aux blockchains, le Tangle DAG de l'IOTA permet aux utilisateurs de valider les transactions en en confirmant d'autres, mais il existe un nœud coordinateur ultime pour parvenir à un consensus. Ils comptent (depuis 2016) s'en débarrasser, mais en attendant, le coordinateur est contrôlé par la Fondation IOTA, et le réseau est centralisé. Cela a été largement prouvé en février 2020, lorsque l’ensemble du réseau a été gelé par le coordinateur après une faille majeure. L'IOTA a subi une faille de sécurité en raison d'une dépendance tierce de Moonpay (un service de paiement crypté), qui a compromis les graines du portefeuille des utilisateurs en chargeant des versions illicites du SDK de Moonpay à partir des serveurs de Moonpay. À l'époque, les pirates ont volé 8,5 millions de dollars du jeton natif de l'IOTA, MIOTA, directement aux utilisateurs, soit environ 2 millions de dollars à l'époque. Portefeuille Trinité Le cybercriminel attendait une nouvelle version de Trinity pour écraser les fichiers mis en cache et éliminer les traces. Des mesures immédiates ont été prises par la Fondation IOTA, notamment l'arrêt du coordinateur et la création d'un plan de gestion des incidents avec des mises à jour publiques de l'état. L’attaque impliquait une interception DNS, une modification de code et une utilisation abusive de clés API. IOTA a répondu en développant des outils de migration pour les utilisateurs concernés, en améliorant les outils d'analyse et en collaborant avec des experts en sécurité et les forces de l'ordre. Trinity n'est plus utilisé et MoonPay avec eux pour résoudre le problème. Donc, encore une fois, il ne s’agissait pas d’un DAG violé mais d’un service externe qui y était lié. collaboré Hedera Hashgraphe Hedera Hashgraph est un système de grand livre distribué qui utilise des graphiques acycliques dirigés (DAG) pour le consensus. Chez Hedera , les nœuds partagent de nouvelles informations entre eux, atteignant progressivement un consensus grâce à plusieurs cycles de partage. Cet historique des événements de partage d’informations est représenté sous forme de hashgraph, un type de DAG. protocole de potins Ce système est breveté, mais il n'est pas exempt d'erreurs. Le 9 mars 2023, le réseau Hedera Hashgraph à un exploit de contrat intelligent, entraînant le vol de divers jetons sur des échanges décentralisés (DEX) tels que Pangolin, SaucerSwap et HeliSwap. Les comptes d'utilisateurs de détail et les portefeuilles Hedera n'ont pas été affectés, mais a été victime l'attaquant a réussi à voler des jetons d'une valeur de près de 600 000 $. Ils comprenaient DAI Stablecoin, Tether USD, USD Coin et Wrapped HBAR. Des mesures rapides ont été prises pour atténuer l'attaque. Les DEX et les ponts ont collaboré pour arrêter le flux de jetons sur le pont dans l'heure suivant l'alerte de la violation. L'équipe Hedera a désactivé l'accès proxy au réseau principal Hedera (grâce au réseau centralisé, comme IOTA), empêchant ainsi tout accès ultérieur des utilisateurs et de l'attaquant. Un correctif a été rapidement développé, testé et mis en œuvre dans les 41 heures suivant la découverte de la vulnérabilité. Contrairement aux attaques précédentes dans d’autres DAG, cette fois, c’est le système natif qui a été compromis, en particulier sa couche de contrat intelligent. L’équipe a agi rapidement pour l’atténuer. Réseau Sui + Discorde Sui Network est un registre distribué lancé en mai 2023. Il divise les transactions en transactions simples (comme l'envoi d'argent) et complexes (comme les enchères en ligne). Les transactions simples ne nécessitent pas de consensus, mais utilisez des validateurs Proof-of-Stake (PoS) et un protocole de consensus basé sur DAG à haut débit appelé Bullshark. transactions complexes Ce réseau a prouvé que la prévention est importante, notamment lorsqu'il s'agit de nouvelles technologies. Juste avant la sortie du réseau principal, la société de sécurité CertiK a découvert un bug critique dans le système. La faille était un bug de boucle infinie dans le code de Sui qui pouvait être déclenché par un contrat intelligent malveillant. Ce type d'attaque, connu sous le nom d'« attaque HamsterWheel », ne fait pas planter les nœuds mais les maintient en fonctionnement sans fin sans traiter de nouvelles transactions, rendant le réseau inutilisable. Une fois le bug , les développeurs de Sui ont rapidement mis en œuvre des correctifs pour atténuer son impact, et CertiK a confirmé que ces correctifs étaient déjà déployés. La Fondation Sui a attribué 500 000 $ à CertiK à titre de prime aux bogues. Cependant, ce n’était pas la seule menace à laquelle cette plateforme était confrontée. a été identifié Avant même le bug potentiel, en août 2022, L'annonce a été partagée , où plusieurs utilisateurs se sont plaints d'avoir perdu des fonds à cause de l'événement. L'incident impliquait des pirates informatiques partageant un lien vers un prétendu parachutage sur le canal d'annonce du serveur. Depuis, ils ont renforcé leurs processus de sécurité et de vérification dans le chat. le serveur Discord de Mysten Labs (créateurs de Sui) a été piraté. sur Twitter Avalanche + DeFi Avalanche est un autre protocole cryptographique qui utilise des structures DAG au lieu de blockchains. Il comporte : la Contract Chain (C-Chain) pour les contrats intelligents, la Exchange Chain (X-Chain) pour des transferts de fonds rapides avec des frais faibles, et la Platform Chain (P-Chain) pour le staking et les récompenses. La X-Chain, en particulier, exploite la technologie DAG pour atteindre un débit élevé et une finalité rapide des transactions. différentes chaînes Plusieurs protocoles DeFi basés sur Avalanche ont fait face à d'importantes attaques au fil des années. Le premier piratage très médiatisé concernait la plateforme de prêt en septembre 2021. L'attaque s'est produite parce qu'ils s'appuyaient sur une seule source pour leurs informations sur les prix (oracle), et cette source ne gérait pas correctement les points décimaux. Cela a permis à l'attaquant de manipuler les prix et d'exécuter des transactions sur des paires qui n'étaient pas censées être négociées. Vee Finance Les jetons ont ensuite été reliés à Ethereum et restent en possession de l'attaquant. Vee Finance a suspendu les contrats de plateforme et les fonctions associées (ce qui démontre que la plateforme n'était pas aussi décentralisée que le terme DeFi l'indique), poursuivant activement ses efforts de récupération d'actifs. Cependant, ce n’était pas tout pour Avalanche. D’autres attaques viendraient avec le temps. Cela a entraîné le retrait non autorisé de 8804,7 ETH et de 213,93 BTC (environ 36 millions de dollars à l'époque). En février 2023, deux autres protocoles DeFi ont de nouveau été piratés : l'agrégateur multi-chaînes Dexible et le DEX Platypus. , l'attaquant a exploité la fonction selfSwap de l'application pour transférer plus de 2 millions de dollars de crypto auprès des utilisateurs qui avaient autorisé l'application à accéder à leurs jetons. Dexible a suspendu ses contrats et conseillé aux utilisateurs de révoquer les autorisations de jetons. Dans le premier cas Le pirate informatique a exploité les contrats d'actifs du protocole à l'aide d'un contrat intelligent malveillant avec un code source non vérifié. Maintenant, à propos des trois cas, on peut dire que certains bugs ont échappé aux développeurs DeFi depuis le début, entraînant une perte de fonds. Dans le deuxième cas, Platypus perdu 8,5 millions de dollars dans une attaque de prêt flash. Protégez-vous des risques DAG Pour les utilisateurs moyens de plates-formes Directed Acyclic Graph (DAG), plusieurs mesures de sécurité et protections clés peuvent être appliquées pour atténuer les risques : avant d'utiliser des services tiers, tels que des portefeuilles ou des échanges, effectuez vos recherches pour vous assurer qu'ils ont une bonne réputation en matière de sécurité. Évitez également de laisser de grandes quantités de crypto sur les échanges pendant des périodes prolongées. Utilisez des services réputés : si vous disposez de portefeuilles qui vous permettent de contrôler vos clés privées, utilisez-les. Cela signifie que vous avez un contrôle direct sur vos fonds. Les portefeuilles froids offrent une couche de sécurité supplémentaire. Sécurisez vos clés privées : lorsque vous traitez avec des comptes liés à la crypto-monnaie, utilisez des mots de passe forts et uniques. Pensez à utiliser un gestionnaire de mots de passe réputé pour assurer leur sécurité. Dans la mesure du possible, activez l'authentification à deux facteurs (2FA) sur vos comptes. Utilisez des mots de passe forts et activez 2FA : restez informé des dernières nouvelles et développements concernant la plateforme DAG que vous utilisez. Comprendre les vulnérabilités potentielles peut vous aider à prendre des mesures préventives. Restez informé : méfiez-vous des e-mails, messages ou sites Web de phishing visant à voler vos informations de connexion ou vos clés privées. Vérifiez toujours les URL et les sources. Méfiez-vous des escroqueries par phishing : pour les applications ou les services qui demandent l'autorisation d'accéder à votre portefeuille ou à vos jetons, examinez et révoquez ces autorisations lorsqu'elles ne sont plus nécessaires. Examinez régulièrement les autorisations : évitez de placer tous vos actifs dans une seule crypto-monnaie ou plateforme. La diversification peut contribuer à répartir les risques. Diversifiez vos investissements : Jusqu'à présent, Obyte (également une plate-forme crypto-DAG) n'a pas subi de piratage très médiatisé sur son système ou ses services associés. Cela ne signifie pas pour autant qu’ils sont à l’abri des attaques. est actif sur Immunefi, avec des récompenses élevées pour les développeurs qualifiés. Cependant, il est toujours important d'appliquer les sur votre propre portefeuille et faites vos propres recherches pour chaque plateforme ! Un programme de bug bounty meilleures mesures de sécurité Image vectorielle en vedette par Freepik
