BlockSec démystifie les rumeurs de piratage de contrat intelligent de 532 millions de dollars : crypto.news
La société populaire Blockchain Security, BlockSec, a démystifié une rumeur virale d’un piratage de contrat Ethdev. BlockSec a utilisé la simulation de Phalcon pour prouver la sécurité d’un contrat intelligent de 532 millions de dollars.
BlockSec démystifie les rumeurs de piratage avec la simulation Phalcon
BlockSec, une entreprise technologique basée en Chine qui se concentre sur la sécurité de l’ensemble du cycle de vie des contrats intelligents, la supervision des actifs numériques et la lutte contre le blanchiment d’argent. Selon un fil Twitter très récent publié par BlockSec plus tôt dans la journée du 31 octobre, le contrat Ethdev en question est toujours intact.
En utilisant Phalcon’s Simulation, un puissant explorateur de transactions conçu pour la communauté DeFi, BlockSec a présenté une analyse détaillée pour prouver la sécurité du contrat Ethdev avec la balise () d’une valeur de 532 millions de dollars.
BlockSec a en outre révélé qu’il y avait eu de nombreuses tentatives de violation du contrat intelligent en modifiant la propriété du contrat, mais en vain. Dans ses mots exacts, le tweet de BlockSec se lit comme suit :
« Les rumeurs disaient que tout le monde pouvait pirater le contrat Ethdev ( – avec 532 millions de dollars). Beaucoup d’essais ont été observés pour changer le propriétaire de ce contrat.
L’exploit de propriété d’Ethdev
Ethereum, la blockchain largement utilisée et la plus performante sur le plan commercial, est un registre public neutre. visible publiquement et immuable, ce qui le rend vulnérable aux piratages et aux violations, dont l’une est la violation de propriété. Lorsqu’une fonction du contrat intelligent est une fonction externe, elle peut être appelée par n’importe qui (attaquant) en dehors du déployeur ou du propriétaire pour apporter des modifications et effectuer des transactions.
L’attaque de propriété est celle dans laquelle un attaquant peut appeler une fonction pour mettre à jour les valeurs d’un contrat intelligent et l’exploiter facilement. Le contrat Ethdev en question aurait été piraté via la violation de propriété.
Accompagnés de captures d’écran de la transaction, les tweets de BlockSec ont démystifié cette désinformation en montrant que même si un attaquant pouvait modifier la propriété en exécutant la fonction « ajouter un propriétaire », il ne pouvait pas rompre le contrat avec succès. BlockSec a expliqué :
Voyons le résultat de l’adresse :. On dirait que ce n’est PAS le propriétaire même s’il peut exécuter avec succès la fonction d’ajout de propriétaire.
Les contrats intelligents sont-ils devenus infaillibles ?
Répondant aux préoccupations quant à la raison pour laquelle l’exécution « ajouter le propriétaire » n’a pas été annulée, BlockSec a expliqué que c’était « parce que le contrat n’était pas annulé même lorsque l’appelant n’est pas le véritable PROPRIÉTAIRE du contrat ».
Bien que plusieurs contrats intelligents aient été piratés avec succès via l’exploit de propriété, cela est tout à fait évitable. Les experts en sécurité de la blockchain ont montré deux solutions possibles à l’exploit de propriété du problème. Il s’agit du modificateur personnalisé et du contrat de propriétaire d’OpenZeppelin. L’un d’eux a peut-être été employé pour décrocher le contrat Ethdev en question.
En introduisant une variable propriétaire, initialisée avec msg.sender, lors de l’initialisation dans le constructeur, les développeurs peuvent ajouter un modificateur personnalisé qui vérifie la véritable propriété d’un contrat avant d’autoriser toute modification.
