Search

DeFi Bug gèle 30 000 dollars d'Ether pour toujours

Points clés à retenir

  • 30 000 dollars d’Ether sont maintenant gelés à jamais dans un contrat intelligent à cause d’une faute de frappe dans le contrat intelligent de Hegic.
  • Le climat s’est échauffé entre Hegic et son auditeur, Trail of Bits, lorsque la société de sécurité a demandé à Hegic de retarder le déploiement de son contrat intelligent.
  • La situation met en évidence la nécessité d’évaluations intelligentes des contrats que les investisseurs – et pas seulement les codeurs – peuvent comprendre.

La catégorie des actualités DeFi vous a été présentée par Ampleforth, notre partenaire préféré de DeFi

Partager cet article

HegicLe protocole de négociation d’options de DeFi a été forcé de redéployer son contrat intelligent après qu’un bogue dans la base de code ait rendu les contrats d’options déverrouillables. Une guerre des mots a suivi entre le créateur anonyme d’Hegic et l’auditeur de contrat intelligent La piste des bits.

Quel est l’intérêt d’un audit ?

DeFi a vu son une part équitable d’exploits, mais rien d’aussi simple que l’incident avec Hegic.

Il n’y a eu aucun exploit ou hacker qui a lancé une attaque sur Hegic. Au lieu de cela, une simple faute de frappe a été le vrai coupable.

Au lieu de « OptionsIDs », la ligne de code qui débloque les liquidités, le développeur a écrit et publié « OptionIDs ». Un seul « s » omis dans une ligne de code a fait dérailler la fonction de déblocage des liquidités.

Les utilisateurs pouvaient retirer leurs fonds, mais ceux-ci ne pouvaient pas être débloqués une fois les options expirées.

Molly Wintermute, la créatrice et unique développeur de Hegic, a immédiatement émis des avertissements sur Discord, Twitter et Telegram lorsqu’elle a découvert l’erreur.

Hegic a promis de rétablir l’intégrité des fournisseurs de liquidités en remboursement les primes versées et les pertes éventuelles sur les postes existants. Trois calls et 16 puts, soit 19 options au total, n’ont pas été exercés, gelant à jamais près de 30 000 dollars à l’ETH.

L’histoire est cependant loin d’être terminée.

Dan Guido Le PDG de Trail of Bits, s’est rendu sur Twitter pour clarifier les choses après que sa société ait été critiquée pour avoir revu le code de Hegic.

Guido a déclaré qu’une révision de code n’est pas une certification de sécurité, mais plutôt un cadre permettant aux développeurs de comprendre les défauts de leur code et de les corriger.

Un extrait de la révision du code qui souligne le risque que des fonds soient piégés dans le contrat, via GitHub.

Deuxièmement, il a indiqué que Trail of Bits n’avait pas eu assez de temps pour vérifier suffisamment le code de Hegic.

Pourtant, Wintermute a déclaré qu’elle avait demandé un examen d’une semaine, et a demandé si l’audit de sécurité serait complet ou partiel, selon une série de courriels rendus publics.

La firme a déclaré qu’une révision du code en trois jours serait suffisante pour assurer « une bonne couverture des contrats intelligents ».

Le promoteur de Hegic a également déclaré qu’il avait mis en œuvre les suggestions qui figurent dans le résumé de la révision du code.

La foi des utilisateurs dans les protocoles DeFi

Les audits de contrats intelligents sont largement considérés comme un label d’approbation des experts en sécurité.

Cette débâcle confirme cependant que ces experts considèrent les audits comme un résumé destiné aux développeurs pour améliorer leur code, plutôt que comme un document qui dit « ce code est prêt pour la consommation de masse ».

Pour les utilisateurs avertis qui peuvent vérifier le code eux-mêmes, ce n’est pas un problème car ils peuvent trouver des bogues et des vecteurs d’attaque potentiels. Mais pour ceux qui ne sont pas techniquement enclins, une alternative viable n’existe pas encore.

Les sociétés d’audit contractuelles intelligentes comprennent que les utilisateurs réguliers ne disposent pas d’une source fiable de notation de la sécurité des protocoles. En réponse à cela, plusieurs auditeurs, dont ConsenSys et MythX, lancé l’alliance Ethereum Trust pour commencer à fournir des évaluations intelligentes de la sécurité des contrats pour l’utilisateur moyen.

C’est un pas dans la bonne direction, en offrant aux utilisateurs des informations simples pour évaluer les risques liés au protocole.

La catégorie des actualités DeFi vous a été présentée par Ampleforth, notre partenaire préféré de DeFi

Partager cet article

Auteur/autrice

Partager:

Articles Similaires

chatgpt

ChatGPT pourrait bientôt intégrer des publicités

Le domaine de l’intelligence artificielle, jusque-là épargné par les publicités, pourrait bientôt basculer. ChatGPT, l’outil phare d’OpenAI, envisagerait d’intégrer des annonces publicitaires pour diversifier ses