"Les programmes sur Solana sont fondamentalement plus sûrs" - Le fondateur d'OtterSec s'exprime sur le faible taux d'exploitation de Solana
Les données suggèrent que les réseaux EVM ont subi plus de 792,6 millions de dollars de piratages en 2024, contre 33,5 millions de dollars pour Solana. Qu'est-ce qui rend Solana plus sûr ?
- Publié: Nov 15, 2024 at 21:36
- Édité: Nov 25, 2024 at 15:10
Malgré le travail diligent des auditeurs de l'ensemble du secteur, les hacks et les exploits de blockchain sont encore monnaie courante.
Toutefois, les données indiquent que certains réseaux et machines virtuelles sont beaucoup plus à risque que d'autres, Solana bénéficiant d'un nombre de hacks considérablement réduit par rapport à ses rivaux.
Est-ce que Solana et le SVM sont intrinsèquement plus sûrs que leurs concurrents ? S'adressant à SolanaFloor, OtterSec le fondateur Robert Chen a dissipé certains des mythes entourant la sécurité des blockchains.
La sécurité des blockchains.
L'EVM est-il un terrain de chasse plus heureux pour les pirates ?
Selon les données de DefiLlama, les réseaux EVM ont subi plus de 792 millions de dollars de piratages et d'exploits en 2024. Comparativement, Solana n'a enduré qu'un total de 33,5 M$, dont 14,8 M$ sont dus à l'exploit Rain crypto exchange, qui a également ciblé les portefeuilles Bitcoin, Ethereum et XRP.
Dans la majorité des cas enregistrés, les pirates volent des fonds en trouvant des vulnérabilités dans la logique du protocole. D'après les enregistrements de DefiLlama, les protocoles des réseaux EVM sont plus souvent victimes d'attaques sur la logique défectueuse que leurs homologues de Solana, malgré l'afflux spectaculaire de capitaux et d'utilisateurs dans l'écosystème de Solana en 2024.
Robert Chen, fondateur d'OtterSec, l'un des auditeurs de contrats intelligents les plus réputés de l'industrie, affirme que de nombreux facteurs contribuent à cet écart. Tout en admettant “il’est difficile de l’affirmer avec certitude”Chen a affirmé “une théorie est que les programmes sur Solana sont fondamentalement plus sûrs en raison du modèle de programmation.
“C'est probablement partiellement vrai dans le sens où ils ont eu le bénéfice du recul lors de la conception de la VM, n'est-ce pas ? L'un des grands exemples est qu'il n'y a pas de réentrance sur Solana, ce qui atténue une surface d'attaque assez importante.
Chen reconnaît que ce n'est peut-être pas là toute l'histoire. Le fondateur a noté que Solana a subi plusieurs piratages et exploits à grande échelle en 2022 et 2023. En outre, Chen a attesté que certaines vulnérabilités “sont fondamentalement agnostiques à la VM. Par exemple, tout type d'exploit économique est agnostique à la VM.
Selon Chen, le meilleur moyen de rester à l'affût des nouvelles stratégies d'attaque est d'appliquer rétroactivement les nouvelles connaissances acquises et d'examiner la pile de données plus en profondeur.
“Une fois que vous avez effectué un grand nombre de protocoles, vous pouvez tirer des enseignements d'un protocole et les appliquer à l'autre. Si vous remarquez quelque chose dans un protocole, vous pouvez revenir en arrière et examiner tous les autres protocoles.
p style="text-align : justify ;">p style="text-align : justify")
“Je pense que nous essayons également de regarder très profondément dans la pile. Par exemple, nous effectuons des audits du client validateur, mais aussi des audits de cadres comme Anchor. Je pense que le fait d'avoir ce type d'expertise ou au moins ce type d'exposition nous permet de regarder un peu plus loin que d'autres personnes.
Chen affirme que l'activité d'audit est une question de confiance et de relations sur mesure. L'opinion, tant publique que privée, est le principal indicateur de la capacité d'un cabinet à réaliser des audits efficaces.
“Je pense qu'il y a toujours une vérification implicite dans le sens où si vous vous trompez, pas une seule fois, mais si vous vous trompez plusieurs fois, le bouche-à-oreille fonctionne, n'est-ce pas ?
En ce qui concerne la réputation des cabinets d'audit, il n'existe actuellement aucune autorité ou entité supérieure qui garantisse que les auditeurs respectent une certaine norme. Toutefois, M. Chen affirme qu'un organisme supérieur n'est pas nécessairement nécessaire.
“Je pense que l'audit est très particulier en ce sens qu'il s'agit fondamentalement d'une activité de confiance. Il n'existe pas vraiment d'organisme central vers lequel les gens aiment se tourner, ou, dans mon cas, veulent se tourner, pour obtenir cette confiance dans les normes d'audit. Les gens ont leurs auditeurs préférés, ils savent avec qui ils veulent travailler. Ce type de relations sur mesure est difficile à remplacer par une partie centralisée”
Les gens ont leurs auditeurs préférés, ils savent avec qui ils veulent travailler.
Un audit réussi n'est pas une garantie infaillible qu'un protocole est totalement exempt de vulnérabilités. Toutefois, comme le dit si bien Chen : “c'est un jeu de probabilités&rdquo ;. Les protocoles vérifiés sont susceptibles de comporter moins de bogues que les protocoles non vérifiés.
Les utilisateurs de crypto-monnaies devraient toujours s'assurer de faire preuve de diligence raisonnable avant d'interagir avec des protocoles onchain et de maintenir des normes de sécurité rigoureuses.
En savoir plus sur SolanaFloor
Le crypto-monnaie fait des pas plus audacieux dans le TradFi
TradFi
