Charles Hoskinson, PDG de la branche de développement de Cardano, Input Output Hong Kong (IOHK), a rappelé les circonstances entourant le récent piratage de la plateforme DeFi MonoX Finance.
Il a notamment cité le cas de Cardano, qui, selon lui, est bien meilleur qu’Ethereum ou que d’autres blockchains pour la rédaction de contrats intelligents.
En résumé :
Cardano : Une autre exploitation du bug DeFi
Mercredi, MonoX aurait perdu jusqu’à 31 millions de dollars à la suite d’une attaque informatique. La société a annoncé que des pirates ont exploité un bug dans le logiciel qu’elle utilise pour préparer les contrats intelligents. Cela leur a permis d’utiliser le même jeton pour la transaction d’entrée et de sortie.
Le pirate a utilisé le jeton natif de la plateforme MONO à la fois comme jeton d’entrée et comme jeton de sortie, alors que le comportement correct aurait dû être d’utiliser un jeton à l’entrée et l’autre au retrait. Cela a permis au pirate de gonfler le prix du jeton retiré et de continuer à l’échanger contre d’autres jetons sur les réseaux Ethereum et Polygon.
Les jetons ainsi sélectionnés comprenaient 18,2 millions de dollars d’Ethereum enveloppé, 10,5 millions de dollars de jetons MATIC, 2 millions de dollars de WBTC, suivis d’un plus petit nombre d’autres jetons tels que Bitcoin enveloppé, Chainlink, Unit Protocol, Aavegotchi et Immutable X.
M. Hoskinson souligne que le piratage aurait pu être évité en utilisant un langage de programmation plus sûr. Il cite le langage de programmation Plutus, adapté à Cardan, comme l’un des avantages du réseau blockchain, qui offrait aux développeurs la possibilité d’écrire un « code génial et sécurisé. »
« C’est exactement pourquoi Plutus a été écrit pour Cardano. Les bons langages et outils travaillent avec les développeurs et les auditeurs, leur permettant d’écrire un code excellent et sûr. »
A quoi sert Plutus ?
Plutus est un langage de programmation permettant d’écrire des contrats intelligents sur la plateforme Cardano. Il est décrit sur le blog d’IOHK comme « un langage complet de Turing écrit en Haskell, et les contrats intelligents de Plutus sont en fait des programmes en Haskell ». Selon une autre définition, il s’agit du « principal langage de programmation fonctionnel pur ».
Ce langage de programmation est décrit comme très sûr et, selon ses créateurs, fournit un moyen facile de montrer que les contrats intelligents sont corrects et peuvent être complètement transparents.
Autres critiques des protocoles actuels de DeFi
Hoskinson est loin d’être le seul à critiquer les développeurs de MonoX pour le manque de sécurité de la plateforme. Dan Guido, PDG de la société de conseil en sécurité blockchain Trials of Bit, a déclaré que les hacks sont courants parmi les projets DeFi parce que de nombreux développeurs n’ont tout simplement « pas fait leurs devoirs correctement ».
« Ces types d’attaques sont courants dans les contrats intelligents parce que de nombreux développeurs n’ont pas fait le travail nécessaire pour définir les propriétés de sécurité du code. »
M. Guido a également fait remarquer que les développeurs négligent souvent les failles de sécurité que présentent les langages de programmation qu’ils utilisent, car ils sont pressés de commercialiser leurs produits le plus rapidement possible.
Conclusion
Cardan est parfois accusé d’être trop académique et de prendre trop de temps. C’est juste que, en y regardant de plus près, Cardan a en fait évité le « gros problème » jusqu’à présent. Ici, évidemment, c’est : dépêchez-vous lentement et mesurez deux fois. Jusqu’à présent, cette approche « professorale » s’est avérée payante.
