DeFi Bug gèle 30 000 dollars d'Ether pour toujours

Points clés à retenir

30 000 dollars d’Ether sont maintenant gelés à jamais dans un contrat intelligent à cause d’une faute de frappe dans le contrat intelligent de Hegic.
Le climat s’est échauffé entre Hegic et son auditeur, Trail of Bits, lorsque la société de sécurité a demandé à Hegic de retarder le déploiement de son contrat intelligent.
La situation met en évidence la nécessité d’évaluations intelligentes des contrats que les investisseurs – et pas seulement les codeurs – peuvent comprendre.

HegicLe protocole de négociation d’options de DeFi a été forcé de redéployer son contrat intelligent après qu’un bogue dans la base de code ait rendu les contrats d’options déverrouillables. Une guerre des mots a suivi entre le créateur anonyme d’Hegic et l’auditeur de contrat intelligent La piste des bits.

Quel est l’intérêt d’un audit ?

DeFi a vu son une part équitable d’exploits, mais rien d’aussi simple que l’incident avec Hegic.

Il n’y a eu aucun exploit ou hacker qui a lancé une attaque sur Hegic. Au lieu de cela, une simple faute de frappe a été le vrai coupable.

Au lieu de « OptionsIDs », la ligne de code qui débloque les liquidités, le développeur a écrit et publié « OptionIDs ». Un seul « s » omis dans une ligne de code a fait dérailler la fonction de déblocage des liquidités.

Les utilisateurs pouvaient retirer leurs fonds, mais ceux-ci ne pouvaient pas être débloqués une fois les options expirées.

Molly Wintermute, la créatrice et unique développeur de Hegic, a immédiatement émis des avertissements sur Discord, Twitter et Telegram lorsqu’elle a découvert l’erreur.

‼️ ALERTE Une faute de frappe a été trouvée dans le code. De ce fait, les liquidités des contrats d’options expirés ne peuvent pas être débloquées pour de nouvelles options. ‼️ Veuillez EXERCER TOUS VOS CONTRATS D’OPTIONS ACTIVES MAINTENANT. Tout le monde sera remboursé à 100 % avec le montant de la prime que vous avez payée pour les options.

– Hegic (@HegicOptions) 25 avril 2020

Hegic a promis de rétablir l’intégrité des fournisseurs de liquidités en remboursement les primes versées et les pertes éventuelles sur les postes existants. Trois calls et 16 puts, soit 19 options au total, n’ont pas été exercés, gelant à jamais près de 30 000 dollars à l’ETH.

L’histoire est cependant loin d’être terminée.

Dan Guido Le PDG de Trail of Bits, s’est rendu sur Twitter pour clarifier les choses après que sa société ait été critiquée pour avoir revu le code de Hegic.

Guido a déclaré qu’une révision de code n’est pas une certification de sécurité, mais plutôt un cadre permettant aux développeurs de comprendre les défauts de leur code et de les corriger.

Un extrait de la révision du code qui souligne le risque que des fonds soient piégés dans le contrat, via GitHub.

Deuxièmement, il a indiqué que Trail of Bits n’avait pas eu assez de temps pour vérifier suffisamment le code de Hegic.

Pourtant, Wintermute a déclaré qu’elle avait demandé un examen d’une semaine, et a demandé si l’audit de sécurité serait complet ou partiel, selon une série de courriels rendus publics.

La firme a déclaré qu’une révision du code en trois jours serait suffisante pour assurer « une bonne couverture des contrats intelligents ».

Le promoteur de Hegic a également déclaré qu’il avait mis en œuvre les suggestions qui figurent dans le résumé de la révision du code.

La foi des utilisateurs dans les protocoles DeFi

Les audits de contrats intelligents sont largement considérés comme un label d’approbation des experts en sécurité.

Cette débâcle confirme cependant que ces experts considèrent les audits comme un résumé destiné aux développeurs pour améliorer leur code, plutôt que comme un document qui dit « ce code est prêt pour la consommation de masse ».

Je t’aime, Lasse, mais je ne suis pas du tout d’accord avec cette prise.

1. Les auditeurs complètent ou améliorent les pratiques des équipes, et non pas assurent la perfection. Un rapport d’audit n’est pas une bénédiction.

2. Le temps passé n’est pas binaire, c’est une échelle. Hegic avait un « petit » audit.

3. Tant de recommandations de suivi non suivies

– Leshner (@rleshner) 25 avril 2020

Pour les utilisateurs avertis qui peuvent vérifier le code eux-mêmes, ce n’est pas un problème car ils peuvent trouver des bogues et des vecteurs d’attaque potentiels. Mais pour ceux qui ne sont pas techniquement enclins, une alternative viable n’existe pas encore.

Les sociétés d’audit contractuelles intelligentes comprennent que les utilisateurs réguliers ne disposent pas d’une source fiable de notation de la sécurité des protocoles. En réponse à cela, plusieurs auditeurs, dont ConsenSys et MythX, lancé l’alliance Ethereum Trust pour commencer à fournir des évaluations intelligentes de la sécurité des contrats pour l’utilisateur moyen.

C’est un pas dans la bonne direction, en offrant aux utilisateurs des informations simples pour évaluer les risques liés au protocole.

Les informations sur ce site Web ou accessibles par son intermédiaire sont obtenues de sources indépendantes que nous considérons comme exactes et fiables, mais Decentral Media, Inc. ne fait aucune déclaration ni garantie quant à l’opportunité, l’exhaustivité ou l’exactitude de toute information sur ce site Web ou accessible par son intermédiaire. Decentral Media, Inc. n’est pas un conseiller en investissement. Nous ne donnons pas de conseils d’investissement personnalisés ni d’autres conseils financiers. Les informations figurant sur ce site web sont susceptibles d’être modifiées sans préavis. Certaines ou toutes les informations contenues dans ce site peuvent devenir obsolètes, ou peuvent être ou devenir incomplètes ou inexactes. Nous pouvons, sans y être obligés, mettre à jour toute information périmée, incomplète ou inexacte.

Vous ne devez jamais prendre une décision d’investissement concernant un OIC, un OEI ou tout autre investissement sur la base des informations figurant sur ce site web, et vous ne devez jamais interpréter ou autrement vous fier à l’une des informations figurant sur ce site web comme un conseil d’investissement. Nous vous recommandons vivement de consulter un conseiller en investissement agréé ou un autre professionnel financier qualifié si vous souhaitez obtenir un conseil en investissement sur un OPCI, un OEI ou un autre investissement. Nous n’acceptons aucune rémunération, sous quelque forme que ce soit, pour l’analyse ou le rapport sur un ICO, un IEO, une devise cryptographique, une devise, des ventes symboliques, des titres ou des marchandises.

Voir les conditions générales.