Un nouveau rapport examine les centralisations involontaires dans les grands livres distribués

Les Blockchains peuvent contribuer à repousser les limites de la technologie actuelle de manière utile. Cependant, pour prendre de bonnes décisions en matière de risques liés à des technologies passionnantes et innovantes, les gens ont besoin de faits démontrables, obtenus par des méthodes reproductibles et des données ouvertes.

Les risques inhérents aux blockchains et aux cryptomonnaies ont été mal décrits et sont souvent ignorés – voire moqués – par ceux qui cherchent à profiter de la ruée vers l’or de cette décennie.

Au cours de l’année dernière, Trail of Bits a été engagé par la Defense Advanced Research Projects Agency (DARPA) pour examiner les propriétés fondamentales des blockchains et les risques de cybersécurité qui y sont associés. La DARPA voulait comprendre ces hypothèses de sécurité et déterminer dans quelle mesure les blockchains sont réellement décentralisées.

Pour répondre à la question, les chercheurs de Trail of Bits ont effectué des analyses et des méta-analyses de travaux universitaires antérieurs et de résultats du monde réel qui n’avaient jamais été regroupés auparavant, mettant à jour les recherches antérieures avec de nouvelles données dans certains cas. Ils ont également réalisé des travaux inédits, en créant de nouveaux outils et en menant des recherches originales.

Le rapport contient également des liens vers des documents annexes et analytiques importants. Les résultats de leurs recherches sont reproductibles et en open-source.

Le rapport documente les problèmes de sécurité au sein des technologies de grands livres décentralisés, ce qui suscite des inquiétudes quant à la sécurité des transactions en cryptomonnaies.

Les chercheurs ont examiné les caractéristiques et les vulnérabilités des technologies de grands livres distribués afin de déterminer si le logiciel est réellement décentralisé ou libre de tout contrôle externe.

Les technologies de grands livres distribués font référence à des logiciels qui stockent des informations sur un réseau sécurisé et décentralisé où les utilisateurs ont besoin de clés cryptographiques spécifiques pour déchiffrer et accéder aux données. Il s’agit de la technologie centrale qui gère les transactions de cryptomonnaies. Communément appelée blockchain, la technologie du grand livre distribué est censée être décentralisée afin d’empêcher un acteur unique de falsifier les informations stockées sur son réseau.

« Le rapport démontre la nécessité permanente d’un examen minutieux lors de l’évaluation de nouvelles technologies, telles que les blockchains, alors qu’elles prolifèrent dans notre société et notre économie », a déclaré Joshua Baron, le responsable du programme DARPA supervisant l’étude. « Nous ne devrions pas prendre toute promesse de sécurité pour argent comptant et toute personne utilisant les blockchains pour des questions de haute importance doit réfléchir aux vulnérabilités associées. »

Le rapport a révélé que certaines technologies de blockchain peuvent être mutables et susceptibles d’être modifiées, ce qui menace les données stockées dans la blockchain de preuve de travail (proof-of-work).

Cette conclusion découle de la centralisation accrue des grands livres associés aux cryptomonnaies populaires, à savoir le Bitcoin et l’Ehtereum.

« Ce rapport donne des exemples de la façon dont cette immuabilité peut être brisée non pas en exploitant des vulnérabilités cryptographiques, mais plutôt en subvertissant les propriétés des implémentations, de la mise en réseau et du protocole de consensus d’une blockchain », commence le rapport. « Les données – et, plus important encore, le code – déployées sur une blockchain ne sont pas nécessairement sémantiquement immuables. »

Plusieurs facteurs contribuent aux vulnérabilités des systèmes de blockchain. L’un des éléments essentiels d’un registre de blockchain sécurisé et décentralisé est le système de nœuds, ou ordinateurs participants, inclus dans le réseau.

Si l’un de ces nœuds ne dispose pas des protocoles de sécurité adéquats ou est simplement dirigé par un acteur malhonnête, les données transitant par la blockchain sont susceptibles d’être piratées ou modifiées. Cette découverte met à mal la notion de sécurité inhérente à la blockchain, qui existe depuis longtemps, et menace les informations stockées dans les différents blocs.

En outre, les incohérences de protocole de sécurité entre les nœuds d’un réseau de blockchain ou d’un pool minier constituent une menace pour la sécurité de tous les nœuds concernés.

Le rapport note également que tout le trafic du protocole Bitcoin, en particulier, n’est pas crypté, ce qui ne constitue pas initialement une menace pour les données passant entre les nœuds d’un réseau. Toutefois, si un tiers au sein de la chaîne du réseau entre les nœuds est corrompu, des acteurs externes peuvent potentiellement perturber les transactions sur le grand livre.

Les inquiétudes concernant le logiciel qui sous-tend les transactions en cryptomonnaies surviennent alors que cette technologie émergente occupe une part plus importante du marché et continue d’être volatile. Par le biais d’un décret et de nombreux projets de loi, le gouvernement fédéral cherche à réglementer l’arène des cryptomonnaies afin de mieux comprendre cette nouvelle classe d’actifs et son impact sur l’économie en général.

Les conclusions du rapport sont préoccupantes pour un large éventail de secteurs, mais particulièrement graves pour la sécurité, la fintech, la big tech et les industries cryptographiques, qui continuent de se développer.

Selon Trail of Bits, il suffit de quatre entités pour perturber le Bitcoin et de deux seulement pour perturber l’Ethereum. En outre, 60 % de l’ensemble du trafic Bitcoin passe par seulement trois fournisseurs d’accès Internet. Des logiciels et des protocoles de blockchain obsolètes et non chiffrés ont également été identifiés par l’organisation.

Le rapport a fait surface quelques semaines seulement après le crash de la cryptomonnaie Luna. En mai 2022, la pièce de monnaie stable décentralisée TerraUSD, dont la parité avec le dollar américain était de 1:1, a chuté pour atteindre quelques centimes lorsqu’un algorithme fonctionnant sur la blockchain s’est effondré. Les experts financiers préviennent que le crash de Luna a été une leçon importante sur les risques de la blockchain.

Depuis le crash de Luna, les cryptomonnaies sont en plein effondrement avec des milliards de dollars perdus et des investisseurs qui encaissent leurs actifs crypto. Les cryptomonnaies continuent d’être affectées par l’économie mondiale, les problèmes de chaîne d’approvisionnement, les hausses d’intérêts, l’inflation et une récession imminente. Le rapport commandé par la DARPA ne fait qu’ajouter des préoccupations supplémentaires au sujet de la blockchain et affecte la perception et la confiance des investisseurs.

En outre, le monde des cryptomonnaies et les opérations de blockchain sont maintenant profondément enchevêtrés dans de nombreuses industries qui ont prévu d’utiliser les cryptomonnaies en raison de leur agilité, de leur immédiateté, de leur potentiel de produit et de leur capacité à fournir un accès plus facile aux services financiers à la population mondiale. La sécurité reste une priorité, un défi et une préoccupation majeure dans cette nouvelle ère financière numérique.

Les défis de la sécurité des blockchains

« La sécurité d’une blockchain dépend de la sécurité du logiciel et des protocoles de ses mécanismes de gouvernance ou de consensus hors chaîne », indique le rapport. Les chercheurs ont enregistré plusieurs comptes auprès de sites de pools miniers pour étudier leur code lorsqu’il était disponible. Leurs découvertes sont choquantes.

ViaBTC, un pool minier mondial de premier plan, attribue le mot de passe « 123 » à ses comptes. Pooling, une autre organisation minière, ne valide même pas les informations d’identification, et Slushpool – qui a extrait plus de 1,2 million de bitcoins depuis 2010 – demande aux utilisateurs d’ignorer le champ du mot de passe. Ensemble, ces trois pools miniers représentent environ 25 % du taux de hachage des bitcoins, ou puissance informatique totale.

Trail of Bits prévient que les nœuds utilisés par les mineurs de cryptomonnaie peuvent être facilement déployés à l’aide d’un serveur en cloud peu coûteux. Ils peuvent être utilisés pour inonder le réseau dans ce que l’on appelle une attaque Sybil. Les attaques Sybil peuvent exécuter une attaque à éclipse, où un acteur malveillant cherche à isoler les utilisateurs en leur refusant l’accès aux nœuds.

Le rapport a présenté des preuves qu’un sous-réseau dense de nœuds publics est en grande partie responsable de l’obtention du consensus et de la communication avec les mineurs. Un exemple d’attaque Sybil a été lié à un acteur malveillant supposé venir de Russie. L’attaquant a pris le contrôle de près de 40 % des nœuds de sortie de Tor et les a utilisés pour réécrire le trafic Bitcoin.

En outre, les erreurs et les bugs logiciels constituent également un problème de sécurité majeur dans la blockchain. Idéalement, tous les nœuds devraient fonctionner sous la même version la plus récente du logiciel, mais ce n’est pas le cas. Des bugs logiciels ont déjà causé des erreurs de blockchain dans Ethereum et 21 % des nœuds Bitcoin fonctionnent sous une ancienne version du client Bitcoin Core, connue pour être vulnérable, selon Trail of Bits.

Les développeurs et les mainteneurs de logiciels de blockchain, ainsi que des millions d’utilisateurs de cryptomonnaies dans le monde sont également visés par les attaques, tout comme les sites technologiques grand public qui commencent à utiliser la blockchain comme une nouvelle source de revenus.

Le rapport constate que la big tech est à un moment critique, avec de nombreuses entreprises de premier plan qui investissent déjà fortement dans la technologie blockchain. Pendant des décennies, la principale source de revenus de la big tech a été la publicité en ligne. Toutefois, la tendance mondiale, alimentée par les préoccupations des utilisateurs en matière de protection de la vie privée, met fin à l’ère des tierces parties, ce qui affecte considérablement les revenus de la publicité en ligne.

Un environnement blockchain vulnérable – tel que décrit par le rapport Trail of Bits – met en danger ces entreprises, leurs investissements, des années de travail et des centaines de milliers d’emplois.

Ces entreprises développent des services financiers, des jetons d’actifs, le métavers, des NFT, des solutions de gestion de la chaîne d’approvisionnement, des marchés de capitaux et des produits d’assurance, ainsi que l’extraction et le jalonnement de cryptomonnaies, entre autres. Elles sont prêtes à perturber et à affecter toutes les industries. Mais le monde est-il prêt à prendre le virage de la blockchain ?