La start-up qui cherche à empêcher les pirates de voler des fonds ICO

Les offres initiales de pièces de monnaie (ICO) sont actuellement de grandes entreprises dans le domaine de la cryptographie. Avec plus de 1,2 milliard de dollars levés en eux tout au long de 2017 seulement, selon la société d’analyse des technologies financières SUIVANT autonome, il serait prudent de supposer que les ICO se débrouillent très bien en termes de collecte de fonds auprès de la communauté des crypto-monnaies.

Les ICO organisés dans la blockchain d’Ethereum, avec l’aide de sa fonctionnalité de contrat intelligent, ont récemment reçu beaucoup d’attention, un événement qui fonctionne à égalité avec la hausse des prix d’Ethereum. Le fonctionnement d’une ICO, en termes simples, serait décrit par quelques actions. Les développeurs présentent d’abord une idée et fournissent aux investisseurs potentiels une adresse Ethereum liée à un contrat intelligent. Ensuite, les utilisateurs d’Ethereum qui envoient de l’Ether à cette adresse sont récompensés par un jeton ERC-20 pour leur participation au contrat intelligent des ICO..

En raison du montant d’argent que les ICO reçoivent, ils n’ont pas été laissés seuls par des parties aux intentions malveillantes. Le processus décrit ci-dessus signifie qu’à moins que les développeurs ne trouvent un moyen de diffuser leurs adresses de contrat intelligent en toute sécurité dans le monde, l’argent pourrait finir par être acheminé vers des tiers malveillants après une attaque de type phishing..

C’est ce qui est arrivé à CoinDash, une nouvelle startup qui a récemment organisé une offre initiale de pièces de monnaie. Les pirates ont en quelque sorte réussi à accéder au backend du site Web de CoinDash et ont changé l’adresse à laquelle les investisseurs potentiels étaient envoyés pour envoyer leurs fonds. Cette simple astuce a exploité les investisseurs et s’est soldée par 10 millions de dollars d’Ether volé. Cela signifie que plus de la moitié des procédures soulevées pour Coindash se sont retrouvées entre les mains de pirates informatiques.

Ce n’est vraiment pas la première fois que les utilisateurs d’Ethereum sont victimes d’un vol majeur dans le cadre d’une vente de jetons. L’année dernière, Le DAO Le piratage résultant de vulnérabilités dans son contrat intelligent était le plus grand vol de crypto-monnaie avec des millions d’Ether perdus. Les pirates informatiques ont fini par mettre la main sur tellement de pièces que cela a finalement abouti à un hard fork de la blockchain d’Ethereum dans le but d’économiser les fonds des investisseurs.

Depuis lors, il y a eu une certaine normalisation dans la façon dont les ICO sont détenus et une nouvelle documentation aide les développeurs à mieux gérer l’émission de jetons. Après Le DAO, les vulnérabilités du code de contrat intelligent ont été mieux atténuées, mais c’est souvent le maillon le plus faible qui est attaqué.

Pourvu que la collecte de fonds publiquement expose les efforts des développeurs au public, cela ne fait qu’ajouter à la pression de mettre en place toute une procédure pour collecter des fonds auprès du grand public de manière distribuée. Heureusement, le détail négligé qui a conduit au vol ICO de CoinDash est facilement couvert avec de simples précautions.

Dans un récent article de blog, la startup, Énigme, qui hébergera également bientôt un ICO, a décrit leurs meilleures pratiques préférées pour la vente de jetons Ethereum. Il est reconnu que le problème – en général – découle de la centralisation. Dans le cas de CoinDash, les utilisateurs devaient faire confiance à une source centrale unique pour savoir où envoyer leurs fonds pour la vente de jetons, leur site Web. Cela place une grande cible dans les yeux des taureaux sur ce qui a fini par être le maillon le plus faible de cette vente de jetons.

Enigma souligne que un justificatif de domicile doit être normalisée et une seule source pour vérifier l’adresse de vente du jeton ne suffit pas. Leur proposition est d’utiliser un support qui utilise des identités du monde réel (comme Twitter) via un contrat intelligent dans la blockchain d’Ethereum pour la vérification d’identité..

Comme décrit dans l’article de blog, ce contrat intelligent aurait l’adresse de financement codée en dur lors de sa création, le marquant comme étant signé en recevant les transactions des parties requises. Ces parties devraient être des membres de confiance de la communauté Ethereum et leur identité serait liée à une adresse blockchain via des tweets publics. Cette signature sécurise le contrat intelligent dans un style multi-signature et rend prohibitif le changement d’adresse de financement pour les attaquants..

Enigma a également souligné que les mots de passe sécurisés et les bonnes pratiques en matière de mots de passe sur les comptes de réseaux sociaux sont des mesures supplémentaires que les développeurs des offres initiales de pièces de monnaie devraient prendre très au sérieux, car ce n’est qu’un autre site que les pirates pourraient utiliser pour prétendre être les développeurs d’une vente de jetons afin de rediriger le financement..

Enfin, dans un effort pour aider la communauté, Enigma a déclaré qu’après avoir terminé le développement de leur un justificatif de domicile contrat, ils vont ouvrir le code source. Un tel outil serait particulièrement utile pour faire face à de telles attaques à l’avenir et normaliser une procédure plus sécurisée pour lever des fonds dans la blockchain d’Ethereum en écrasant un autre maillon faible potentiel du processus. L’open sourcing du contrat permettrait également à d’autres parties de revoir son code et de l’améliorer ou de l’adapter à leurs besoins afin de sécuriser d’autres projets.