Une plate-forme Crypto-DAG est-elle vulnérable au piratage ? Comprendre les risques de sécurité

Une plate-forme crypto-DAG est un type de grand livre distribué utilisé pour gérer les transactions en crypto-monnaies. Contrairement aux blockchains, il utilise une structure de graphe acyclique dirigé (DAG), où chaque transaction fait référence aux précédentes, créant un système plus décentralisé, sans mineurs ni autres intermédiaires. Obyte est l'une de ces plateformes.

Cependant, parmi les avantages se trouvent des inquiétudes concernant les vulnérabilités de sécurité et le potentiel de tentatives de piratage. Nous ferons ici un bref aperçu du paysage de la sécurité des plates-formes crypto-DAG, en explorant les mesures en place pour protéger les fonds et les données des utilisateurs. En comprenant les risques et les défis associés à ces systèmes innovants, les utilisateurs peuvent prendre des décisions éclairées tout en participant à l'écosystème crypto-DAG.

DAG vs Blockchains (pour les hackers)

Alors, peut-être vous demandez-vous quel système est le plus sûr : un DAG ou une blockchain ? Eh bien, la vérité est qu'il n'y a pas de réponse unique. Cela dépend entièrement du réseau spécifique. Les DAG et les blockchains ont leurs forces et leurs faiblesses uniques en matière de sécurité, et leur sécurité dépend de la qualité de leur conception, de leur mise en œuvre et de leur maintenance.

Cependant, un DAG comme Obyte peut atténuer certains des risques de sécurité déjà présents dans de nombreuses blockchains. Attaques potentielles comme la censure des transactions, les doubles dépenses (dépenser les mêmes pièces plus d'une fois), les attaques Sybil (nœuds voyous qui s'entendent pour endommager le réseau) et les attaques à 51 % (la majorité des mineurs ou des validateurs s'entendent pour contrôler le réseau) sont omniprésents risques dans toute blockchain. Sans parler des vulnérabilités assez courantes des contrats intelligents, auxquelles les pirates ont volé des milliards.

D'un autre côté, tous les DAG ne sont pas identiques, mais ils partagent une caractéristique importante : ce sont des chaînes sans bloc, sans mineurs ni puissants validateurs-approbateurs . Chaque transaction est entrelacée avec la précédente et la suivante, formant un graphique en cours de route. Aucun mineur ou producteur de bloc (appelé à tort "validateur") n'est nécessaire pour approuver ou rejeter les transactions : une fois qu'il est créé par un utilisateur, il est inclus dans le DAG. Donc, des choses comme la censure ne sont pas possibles.

Autres menaces

Maintenant, pour éviter les doubles dépenses et les attaques Sybil, Obyte a Fournisseurs de commandes (précédemment appelés témoins). Ces fournisseurs, qui sont généralement des individus ou des entreprises très respectés, créent des transactions comme tout le monde et ces transactions servent de points de repère pour commander toutes les autres transactions. En retour, ils reçoivent une partie des frais de transaction, mais cela ne devrait pas être l'objectif principal d'un fournisseur de commandes.

Ils sont sélectionnés pour ce rôle par la communauté parmi les membres respectables de la communauté qui ont beaucoup à perdre s'ils se conduisent mal. Et, contrairement aux mineurs ou aux « validateurs » dans les blockchains, ils n'ont pas beaucoup de pouvoir eux-mêmes. Ils ne peuvent pas décider quelles transactions sont approuvées ou non, et ils ne peuvent pas dépenser de l'argent en double.

Fondamentalement, la seule chose qu'ils peuvent faire s'ils s'entendent est d'arrêter le réseau, jusqu'à ce qu'un nouveau réseau avec un nouvel ensemble de fournisseurs de commandes soit redémarré à partir du point où l'ancien réseau s'est arrêté. Ils ont été sélectionnés par la communauté elle-même pour commencer, donc la même communauté peut retirer le rôle. Ils perdraient leur réputation en tant qu'individus ou entreprises et seraient exclus du réseau. Personne ne peut acheter le droit de contrôler un DAG décentralisé.

Qu'en est-il du piratage IOTA?

IOTA est un autre registre crypto-DAG qui est tristement célèbre pour une attaque qui s'est produite en 2020. Les pirates ont volé 8,5 millions dans le jeton natif MIOTA d'IOTA directement aux utilisateurs, soit environ 2 millions de dollars à l'époque. Cela a suscité la méfiance à l'égard des systèmes basés sur DAG, mais le fait est que le DAG lui-même n'a pas été piraté à l'époque. Au lieu de cela, les pirates ont exploité une fonctionnalité du portefeuille IOTA Trinity qui permettait aux utilisateurs d'acheter MIOTA avec de l'argent fiduciaire via MoonPay - une passerelle tierce fiat-to-crypto.

J il attaquegéré pour remplacer le code légitime de l'API MoonPay par un code malveillant. Cela a compromis tous les téléchargements de Trinity Wallet entre le 17 décembre 2019 et le 17 février 2020. Une fois que les utilisateurs ont entré leurs phrases de départ (clés privées) dans les portefeuilles compromis, les attaquants ont eu accès à leurs fonds et pouvaient les transférer sur leurs propres comptes.

La Fondation IOTA a suspendu le réseau (ce qui était possible car le réseau était, et est toujours, totalement centralisé) pendant plusieurs semaines pour éviter de nouvelles pertes, et le fondateur a promis rembourser les utilisateurs concernés lui-même. Malheureusement, il s'agissait d'une vulnérabilité tierce qui aurait pu arriver à n'importe quelle plate-forme de grand livre distribué (blockchain ou DAG).

Que pouvez-vous faire pour protéger vos fonds ?

Être conscient des risques est la première étape. La seconde est de protéger vos clés privées à tout prix. En voyant le cas IOTA, il est conseillé de répartir vos fonds dans plusieurs portefeuilles et de diminuer les services tiers lorsque cela est possible, en particulier à partir de votre portefeuille principal. Une troisième étape consiste à toujours prêter attention aux dernières nouvelles concernant les registres distribués auxquels vous participez. S'il y a un problème, l'équipe l'annoncera rapidement via les canaux publics pour atténuer les dommages.

Un point faible potentiel de tout système décentralisé, y compris Obyte , est le facteur humain. La sécurité des fonds des utilisateurs peut être compromise si des utilisateurs individuels sont victimes d'attaques d'ingénierie sociale (fraudes), de tentatives de phishing (usurpation d'identité) ou s'ils partagent leurs clés privées ou leurs phrases de récupération avec des acteurs malveillants. Les utilisateurs doivent être vigilants et prudents, non seulement en ce qui concerne leurs interactions avec le réseau, mais également dans la sauvegarde de leurs propres informations d'authentification.

N'oubliez pas que nous avons déjà parlé de protéger vos clés privées dans Obyte et comme c'est courant escroqueries cryptographiques travail. Pour protéger vos fonds, ne facilitez pas la tâche des pirates et des escrocs !

Image vectorielle en vedette par Freepik