Décoder les hacks Oracle : comprendre les vulnérabilités et les garanties dans les Oracles Blockchain

Dans la présentation ci-dessous, Sasa Milic, un chercheur indépendant, a présenté les piratages d'oracle survenus au cours des deux dernières années et les différentes conclusions qui peuvent en être tirées.

Vous trouverez ci-dessous un glossaire des concepts clés mentionnés lors de l'exposé de Sasa, destiné à compléter sa présentation vidéo.

QU’EST-CE QU’UN ORACLE BLOCKCHAIN ?

Les données natives de la blockchain (par exemple, propriété et transfert de jetons) sont validées par chaque nœud du réseau. Ce processus de validation rend le réseau inviolable (sauf en cas de 51% d'attaque ). Cependant, cette résistance à la falsification a pour conséquence l'accès limité aux sources de données externes, puisque ces données (et leur transmission) peuvent être facilement falsifiées.

Pour créer des applications blockchain complexes, au-delà des simples transferts de jetons, vous devez accéder à des données externes. Par exemple, la plupart des applications de finance décentralisée (DeFi) nécessitent des données sur les prix (par exemple, pour obtenir un prix d'exercice ou conserver un stablecoin indexé à 1 USD). En effet, les prix des actifs restent le type de données le plus courant généré et traité par les oracles de la blockchain.

QUE SONT LES HACKS ORACLE ?

Les piratages Oracle se produisent lorsque des attaquants exploitent des vulnérabilités dans la conception ou la mise en œuvre des réseaux Oracle. Dans un tel piratage, l’attaquant manipule généralement l’oracle pour introduire des données incorrectes dans un contrat blockchain. Cela conduit souvent à des transferts de fonds par erreur, généralement vers le compte du pirate informatique. Le cœur de ces attaques réside dans la compromission de l’intégrité des données sur lesquelles reposent les contrats intelligents, entraînant des pertes financières ou d’autres perturbations.

Au début de sa présentation, l'intervenante précise que la plupart des pertes attribuées aux piratages d'Oracle sont en réalité dues à des attaques de manipulation de marché plutôt qu'à un défaut de conception d'Oracle. Sasa divise les hacks Oracle en deux catégories importantes : les erreurs de statistiques/données ou les erreurs d'intégration.

INTERVALLES DE CONFIANCE

Les intervalles de confiance font référence à une plage de valeurs utilisées pour estimer la quantité réelle d'un paramètre particulier. Ces valeurs sont accompagnées d'un pourcentage, généralement compris entre 95 % et 99,9 %, qui représente le degré de confiance dans cet intervalle.

Un exemple d’intervalle de confiance est une estimation du prix du Bitcoin à [$29 504, $29 507] avec un niveau de confiance de 99 %, ce qui signifie que l’éditeur est sûr à 99 % que le prix du Bitcoin à ce moment-là se situera entre les valeurs données.

Certains protocoles Oracle, comme Python , exigent que les éditeurs de prix fournissent un rapport sur les intervalles de confiance afin de renforcer la transparence et la confiance.

MÉCANISMES DE DÉTECTION ET DE SUPPRESSION DES Aberrations

La détection des valeurs aberrantes, également connue sous le nom de détection d'anomalies, fait référence aux diverses techniques et processus utilisés pour identifier et éliminer les valeurs aberrantes dans les données. Les valeurs aberrantes font référence à des points de données qui s'écartent considérablement du modèle de données. Par exemple, si un oracle fournit des données de prix de 100 $, 101 $, 200 $, 99 $, 102 $, 10 $, etc., 200 $ et 10 $ doivent être signalés comme valeurs aberrantes.

Les valeurs aberrantes sont identifiées en appliquant des méthodes statistiques pour supprimer les points de données qui dépassent les limites prédéfinies. Les mécanismes de détection des valeurs aberrantes sont cruciaux car ils améliorent l’intégrité des données et réduisent les biais, même si l’orateur remet en question leur efficacité dans le contexte des réseaux Oracle.

FONCTION D'AGRÉGATION ORACLE

La fonction d'agrégation Oracle fait référence à un algorithme qui joue un rôle crucial dans l'amélioration de la qualité des données Oracle en combinant plusieurs entrées de données provenant de différents oracles en une seule valeur agrégée.

Certains des algorithmes les plus populaires utilisés sont la valeur du prix médian, le prix moyen pondéré en fonction du volume (VWAP) et le prix moyen pondéré dans le temps (TWAP). Les deux derniers sont de plus en plus populaires car ils résistent mieux aux manipulations. VWAP calcule un prix moyen en fonction du volume des transactions, les sources ayant un volume de transactions plus important pesant plus que les autres, tandis que TWAP calcule un prix moyen en fonction d'intervalles de temps.

Ce article sur le blog de Chainlink détaille les différences entre l'agrégation des prix TWAP et VWAP.

PÉRIODES DE LITIGE

Les périodes de contestation sont des délais spécifiques pendant lesquels les participants peuvent contester la validité ou l'exactitude des données fournies par les oracles. Il s'agit d'une étape naturelle après l'agrégation des données pour résoudre les erreurs techniques, les incohérences ou les manipulations suspectées.

Ces différends sont finalement résolus par le vote ou un protocole d'arbitrage comme Kléros . Maillon de chaîne 2.0 est un exemple de réseau Oracle à deux niveaux doté d'une deuxième couche pour la résolution des litiges.

LIMITES DE SANTÉ

Les limites d'intégrité, également appelées contrôles d'intégrité, sont des seuils ou des limites prédéfinis utilisés pour valider les données fournies par Oracle avant qu'elles ne soient acceptées pour l'agrégation. Il s'agit d'un exemple de mécanismes de détection de valeurs aberrantes utilisés par les protocoles.

Ces limites garantissent que les données sur les prix se situent dans des fourchettes raisonnables et attendues. Si les données fournies par un oracle se situent en dehors des limites de la raison, elles sont considérées comme invalides et ne sont pas incluses dans le processus d'agrégation. Ce article discute de l'utilisation de limites de bon sens comme méthode d'atténuation des manipulations pour les oracles de prix.

Connectez-vous avec Sasa Millic :

LinkedIn
Twitter
Moyen
Youtube

Le Blockchain Oracle Summit est le seul sommet technique au monde qui approfondit les cas d'utilisation, les limites et les impacts des oracles sur l'écosystème plus large de la blockchain. Des conférenciers de premier plan du monde entier se sont réunis à Paris pour partager leur travail et leur expérience dans la création et l'utilisation de solutions Oracle. Article par Michel Abiodun .