Les utilisateurs qui perdent des fonds en raison d'une activité malveillante ne sont pas inconnus sur Ethereum. En fait, c'est la raison même pour laquelle des chercheurs ont récemment élaboré une proposition visant à introduire un nouveau type de token, qui soit réversible en cas de piratage ou d'autres comportements peu recommandables.

Plus précisément, la suggestion prévoit la création d'un ERC-20R et d'un ERC-721R, qui seraient des versions modifiées des normes qui régissent les tokens Ethereum ordinaires et les tokens non fongibles (NFT).

Le principe est le suivant : cette nouvelle norme permettrait aux utilisateurs de faire une « demande de gel » des transactions récentes qui bloquerait ces fonds jusqu'à ce qu'un « système judiciaire décentralisé » détermine la validité de la transaction. Les deux parties seraient autorisées à présenter leurs preuves, et les juges seraient choisis au hasard dans un pool décentralisé pour minimiser la collusion.

À la fin du processus, un verdict serait rendu et soit les fonds seraient restitués, soit ils resteraient là où ils sont. Cette décision serait alors définitive et ne ferait l'objet d'aucune autre contestation. Les victimes de piratages et d'autres activités malveillantes disposeraient ainsi d'un moyen pratique de récupérer leurs avoirs de manière directe et communautaire.

Malheureusement, cela pourrait bien être une proposition inutile et finalement nuisible. L'une des pierres angulaires de la philosophie décentralisée est que les transactions ne vont que dans un sens. Elles ne peuvent être annulées dans pratiquement aucune circonstance. Ce nouveau changement de protocole porterait atteinte à ce précepte fondamental et permettrait de réparer ce qui n'est pas cassé.

Alors comment cela fonctionne-t-il lorsqu'un attaquant vole des ERC-20R et les encaisse en ETH via un DEX dans la même transaction ? Ou bien l'ERC-20R sera incompatible avec l'écosystème actuel de DeFi ? https://t.co/n5pN82ZBBe- Roman Semenov ️ (@semenov_roman_) 25 septembre 2022

Il y a aussi le fait que même la mise en œuvre de ces tokens serait un cauchemar logistique. À moins que chaque plateforme n'adopte la nouvelle norme, il y aurait d'énormes lacunes dans le système, ce qui signifie que les voleurs pourraient simplement échanger rapidement leurs actifs réversibles contre des actifs non réversibles et éviter complètement les répercussions. Cela rendrait l'ensemble de l'actif complètement inutile, et il est plus que probable que les utilisateurs ne l'utiliseraient tout simplement pas.

En outre, l'idée même d'un contrôle judiciaire implique une centralisation. L'indépendance à l'égard d'un tiers n'est-elle pas exactement ce pour quoi les cryptomonnaies ont été créées ? La proposition actuelle n'est pas claire sur la manière dont ces juges seront choisis, si ce n'est que ce sera « aléatoire ». Si le système n'est pas soigneusement équilibré, il est difficile d'affirmer que toute collusion ou manipulation est impossible.

Une meilleure proposition

En fin de compte, la notion d'un actif crypto réversible peut être bien intentionnée, mais elle est aussi totalement inutile. Le principe introduit de nombreuses nouvelles complexités en termes d'intégration réelle dans les systèmes existants, et ce, même en supposant que les plateformes souhaitent l'utiliser. Cependant, il existe d'autres moyens d'assurer la sécurité de l'écosystème décentralisé sans compromettre ce qui rend les cryptomonnaies si puissantes au départ.

Par exemple, l'audit de tous les codes de smart contracts sur une base continue. De nombreux problèmes dans la finance décentralisée (DeFi) proviennent d'exploitation de vulnérabilités présents dans les smart contracts sous-jacents. Des audits de sécurité complets et indépendants peuvent aider à trouver où se trouvent les problèmes potentiels avant que ces protocoles ne soient publiés. En outre, il est important d'essayer de comprendre comment plusieurs contrats interagiront ensemble lorsqu'ils seront mis en service, car certains problèmes ne se posent que lorsqu'ils sont utilisés dans la nature.

Tout contrat déployé comportera des facteurs de risque qu'il faudra surveiller et contre lesquels il faudra se défendre. Cependant, de nombreuses équipes de développement ne disposent pas d'une solution robuste de surveillance de la sécurité. Souvent, le premier signe que quelque chose de problématique se produit provient d'un diagnostic sur la blockchain. Des transactions massives ou inhabituelles et d'autres modèles de transaction peu communs peuvent indiquer une attaque qui se produit en temps réel. Il est essentiel de pouvoir repérer et comprendre ces signaux pour rester à l'affût.

À lire également : Le cadre anémique de Biden pour les cryptomonnaies n'offre rien de nouveau

Bien entendu, il faut également mettre en place un système permettant de documenter et d'enregistrer les événements et de communiquer les informations les plus importantes aux bonnes entités. Certaines alertes peuvent être envoyées à l'équipe de développeurs et d'autres peuvent être mises à la disposition de la communauté. Avec une communauté ainsi informée, une meilleure sécurité peut venir d'une manière qui s'aligne avec l'éthique décentralisée plutôt que d'être reléguée à une fonction de contrôle judiciaire.

Prenons l'exemple du piratage de Ronin. Il a fallu six jours à l'équipe à l'origine du projet pour se rendre compte de l'attaque. Elle n'a pris conscience de la situation que lorsqu'un utilisateur s'est plaint de ne pas pouvoir retirer de fonds. Si une surveillance en temps réel du réseau avait été mise en place, une réponse aurait pu être apportée presque instantanément dès la première transaction importante et suspecte. Au lieu de cela, personne n'a rien remarqué pendant près d'une semaine, ce qui a donné à l'attaquant tout le temps nécessaire pour continuer à déplacer des fonds et à masquer leur historique.

Il semble assez évident que les tokens réversibles n'auraient pas beaucoup aidé cette situation, mais la surveillance aurait pu le faire. Au moment où l'on s'en est aperçu, de nombreuses cryptomonnaies volées avaient été transférées à plusieurs reprises sur des portefeuilles et des exchanges. Toutes ces transactions auraient-elles pu être annulées ? Les complexités introduites, ainsi que les nouveaux risques possibles créés, signifient que cet effort n'en vaut tout simplement pas la peine. Surtout si l'on considère qu'il existe déjà de puissants mécanismes capables d'offrir un niveau similaire de sécurité et de responsabilité.

Au lieu d'altérer la formule qui rend la crypto si puissante, il serait beaucoup plus judicieux de mettre en œuvre des processus de sécurité complets et continus sur le Web3, afin que les actifs décentralisés restent immuables mais pas sans protection.

Stephen Lloyd Webber est un ingénieur logiciel et un auteur ayant une expérience diversifiée dans la simplification de situations complexes. Il est fasciné par l'open source, la décentralisation et tout ce qui concerne la blockchain Ethereum. Stephen travaille actuellement dans le domaine du marketing produit chez Open Zeppelin, une entreprise de premier plan dans le domaine des technologies et des services de cybersécurité en cryptomonnaie. Il est titulaire d'un MFA en rédaction anglaise de l'Université d'État du Nouveau-Mexique.

Cet article est destiné à des fins d'information générale et n'est pas destiné à être et ne doit pas être considéré comme un conseil juridique ou d'investissement. Les points de vue, réflexions et opinions exprimés ici n'engagent que l'auteur et ne reflètent ou ne représentent pas nécessairement ceux de Cointelegraph.