08/02/2023
OpenSea

« Comme un esport » : comment OpenSea a sécurisé son code avec le concours d’audit de Code4rena


Les audits de sécurité traditionnels ne suffisent pas pour contrats intelligents.

« Les enjeux sont trop élevés », a déclaré L’argent du tiroir à chaussettes, l’un des nombreux contributeurs à la création d’une plate-forme d’audit décentralisée appelée Code4rena. La DAO a lancé un nouveau modèle conçu par Scott Lewis et Zack Coleoù les auditeurs se font concurrence pour exclure les bogues du code en direct.

Et c’est vital pour les contrats intelligents qui alimentent la finance décentralisée (DeFi). Alors qu’un bogue logiciel non découvert peut provoquer le plantage d’un programme ou un autre problème opérationnel, un bogue de contrat intelligent dans un DeFi ou un protocole d’échange d’actifs peut entraîner instantanément la perte de centaines de millions de dollars de jetons.

Un changement radical

C’était une priorité pour OpenSea, le plus grand marché NFT au monde, plus tôt cette année. En mai, OpenSea a introduit un nouveau protocole appelé Seaport pour gérer ses transactions et aider à réduire les frais de gaz.

Le plan était de migrer vers Seaport à partir du protocole Wyvern bien établi. Mais étant donné les volumes de trafic et de crypto-monnaie transitant par OpenSea – il a atteint 10 milliards de dollars de volume total l’année dernière – Seaport devait être testé de manière approfondie avant de franchir le pas.

OpenSea est le plus grand marché NFT au monde. Image : Open Sea

OpenSea a passé un contrat avec une société de sécurité pour effectuer un audit de Seaport. Mais pour un déménagement aussi important que la migration de l’ensemble de sa plate-forme vers un tout nouveau protocole, il voulait plus de protection.

« Nous voulions que des personnes d’horizons et de processus de réflexion différents viennent examiner les contrats intelligents de manière globale », a déclaré un porte-parole d’OpenSea. Décrypter. « En particulier, nous voulions que les meilleurs des meilleurs développeurs s’intéressent à Seaport, et nombre d’entre eux ne travaillent pas nécessairement pour des cabinets d’audit. »

Sagesse de la foule

Même les meilleures entreprises de sécurité ne peuvent généralement épargner qu’un ou deux auditeurs pour examiner un projet pendant une ou deux semaines, ce qui n’est pas assez de temps ou assez de globes oculaires pour analyser en profondeur un protocole de contrat intelligent pour détecter les vulnérabilités cachées.

Code4rena incite une vaste communauté d’auditeurs à rechercher les bugs les plus rares et les plus précieux, tout comme les attaquants. Mais contrairement aux primes de bogues, l’objectif principal de C4 est de garder les bogues hors du code de production.

C’est pourquoi OpenSea a décidé de parrainer un concours public de deux semaines avec Code4rena pour donner au code Seaport un deuxième nettoyage avant la migration. La cagnotte était de 1 million de dollars.

La force du nombre

Code4rena est un DAO géré par des contributeurs et régi par $ARENA détenteurs de jetons. Son approche est d’une simplicité trompeuse : plus c’est mieux. Son modèle implique trois acteurs principaux : les parrains, les gardiens et les juges.

Des sponsors comme OpenSea créent une cagnotte pour inciter les gardiens à auditer leur projet. Les gardiens fouillent dans le code et découvrent autant de menaces que possible. Et des juges indépendants, généralement les ingénieurs les plus élitistes de la communauté C4, examinent les conclusions et distribuent des récompenses aux gardiens en fonction de leurs performances.

(Le processus de soumission de bogues est totalement anonyme, mais pour les sponsors avec KYC, AML ou d’autres obligations légales, C4 organise également des concours privés sur invitation uniquement avec un plus petit nombre de gardiens certifiés travaillant sous NDA.)

Mieux ensemble

La beauté d’un audit C4 public est qu’il est compétitif et que tout le monde peut participer, a déclaré Sock.

Les gardiens couvrent toute la gamme, des ingénieurs de sécurité chevronnés aux développeurs verts essayant d’acquérir plus d’expérience dans l’audit de contrats intelligents, en passant par les personnes qui ont déjà fait fortune dans la cryptographie et qui veulent juste s’amuser à chasser les bogues.

« Il permet aux nouveaux développeurs et chercheurs d’entrer dans l’espace d’audit sur un pied d’égalité », a déclaré OpenSea. Décrypter.

Trouver un bogue rare ou sérieusement mauvais rapportera plus d’argent à un gardien qu’un bogue banal qui a été soumis par plusieurs gardiens, mais tous ceux qui soumettent un bogue valide sont payés, même si ce bogue a déjà été signalé.

C’est très différent des programmes de primes de bogues qui ne récompensent que la première personne à trouver un exploit. Si quelqu’un d’autre tombe sur le même bogue quelques minutes plus tard, il n’a pas de chance.

Cela favorise un sentiment de saine concurrence. Bien que les gardiens soient incités à trouver les bogues les plus graves, ils finissent également par trouver de nombreux autres bogues dans le processus, et ils sont récompensés pour leurs efforts. Certains gardiens travaillent même ensemble dans des équipes ad hoc.

« Vous pouvez y penser presque comme un esport », a déclaré Sock.

Un audit C4 typique verra plus de 50 gardiens générer environ 400 soumissions de bogues différentes au cours d’une ou deux semaines.

Si un cabinet d’audit type confie des audits de 1 à 2 semaines à 1 à 2 auditeurs, cela donne entre 40 et 160 heures d’examen du code. Sur la base des moyennes déclarées par les gardiens du temps passé à réviser le code, la plupart des concours Code4rena voient désormais un minimum de 600 heures de révision de code, certains voyant 1 000 heures ou plus.

Trouvé et réparé

Lors de l’examen du protocole Seaport d’OpenSea, les gardiens de C4 découvert plusieurs problèmes qui étaient auparavant passées inaperçues, dont deux que les juges C4 ont jugées comme étant de grande gravité. L’un de ces problèmes a été découvert par huit gardiens et/ou équipes différents. L’autre a été trouvé par un seul.

Par exemple, plusieurs examinateurs se sont rendu compte que, dans certaines circonstances, les commandes qui n’avaient été que partiellement remplies pouvaient être traitées plusieurs fois. OpenSea a corrigé le problème au sein de Seaport en mettant en place une protection afin que le numérateur et le dénominateur ne puissent jamais dépasser une certaine valeur spécifique.

Les auditeurs de C4 ont également remarqué que le déclenchement de deux erreurs spécifiques liées à l’agrégation d’exécution l’une après l’autre contournerait les contrôles pour les deux. Une situation potentiellement très mauvaise a été corrigée en apportant une petite modification à la vérification des erreurs.

De nombreux bogues identifiés dans le code par les gardiens de Code4rena avaient été manqués par d’autres lors de plusieurs examens et audits antérieurs.

En juin, OpenSea a pu migrer son marché vers Seaport avec la certitude que tous les problèmes majeurs avaient été trouvés et traités, a déclaré un représentant d’OpenSea. Décrypter.

L’avenir du travail

Mais au-delà de la rapidité, de l’efficacité et de la valeur qu’un audit C4 peut apporter aux entreprises qui cherchent à sécuriser leur code de contrat intelligent, le modèle est également une étude de cas sur la façon dont la nature du travail évolue.

Code4rena organise plusieurs concours d’audit chaque semaine et tout le monde peut participer, a déclaré Christoph Michel (alias cmichel), l’un des meilleurs gardiens du C4. Depuis février 2021, lorsque cmichel a participé à son premier concours C4, il a audité les bases de code d’environ 100 projets et gagné plus d’un million de dollars.

« Vous n’avez pas besoin de demander la permission ou de passer un entretien d’embauche », a déclaré cmichel. « La seule chose qui compte, c’est à quel point vous pouvez briser le protocole. »

La flexibilité est également attrayante.

« Si je suis occupé par un autre travail ou si je veux faire une pause, je ne participe tout simplement pas aux concours de cette semaine », a déclaré cmichel. « Pour moi, c’est l’avenir du travail. »

Article sponsorisé par Code4rena

Cet article sponsorisé a été créé par Decrypt Studio. En savoir plus sur le partenariat avec Decrypt Studio.

Vous voulez être un expert en crypto? Obtenez le meilleur de Decrypt directement dans votre boîte de réception.

Obtenez les plus grandes actualités cryptographiques + des résumés hebdomadaires et plus encore !





Source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *