Alors que la confiance dans les audits faiblit, la communauté DeFi réfléchit à des alternatives de sécurité

Alors que les attaques lancées contre les protocoles de finance décentralisée (DeFi) populaires deviennent de plus en plus complexes, l’efficacité des audits des grandes entreprises de sécurité a à son tour fait l’objet d’un examen minutieux – et certains membres de la communauté DeFi ont déjà commencé à créer des alternatives locales..

«Je pense que maintenant, après tous les hacks que nous avons eu, nous comprenons fondamentalement que si vous avez deux audits, trois audits, cela ne signifie pas que vous êtes en sécurité», a déclaré le co-fondateur de DeFi Italy Emiliano Bonassi dans une interview avec Cointelegraph. “Cela ne veut pas dire que les audits n’ont aucune valeur en ce moment, mais ce ne sont pas des balles d’argent.”

C’est cette nouvelle réalité qui a poussé Bonassi à former ReviewsDAO. Un simple forum pour connecter les experts en sécurité et les projets à la recherche d’un regard supplémentaire, dans les trois jours depuis son lancement ReviewsDAO a déjà attiré quatre évaluateurs bénévoles (dont Bonassi), et a jumelé deux évaluateurs avec un projet.

La peau dans le jeu est l’une des règles implicites de https://t.co/5y4MBhvNB7

Anon est autorisé et protégé mais mettre son visage (virtuel ou non) c’est un signe de confiance

J’y suis, j’offre mon temps et mon visage pour les critiques https://t.co/CoVRSThymG

Ne soyez pas timide, aidez la communauté! pic.twitter.com/uq0KtV2pCV

– Emiliano Bonassi | emiliano.eth (@emilianobonassi) 15 février 2021

Bonassi et ReviewsDAO ne sont pas seuls non plus. Le code 423n4 est un autre projet visant à relancer un mouvement de sécurité au sein de l’écosystème, en tirant parti d’une torsion ludique et expérimentale des primes de bogues. Et de même Immunefi, une autre plate-forme de primes DeFi lancée en décembre de l’année dernière, révise le modèle de divulgation de sécurité en poussant pour plus de 10% des fonds vulnérables en récompense. 

Le modèle d’Immunefi, en particulier, a déjà fait des vagues, remportant avec succès un chapeau blanc d’une récompense de 1,5 million de dollars.

Trois nouveaux projets émergent en seulement deux mois, et chacun avec son propre modèle d’incitation – il s’agit d’un effort à l’échelle de l’industrie Stani Kulechov, le fondateur de la plate-forme de prêt DeFi Aave, estime que ce sera la clé de la santé et de la sécurité de l’espace à l’avenir..

«Les auditeurs ne sont pas là pour garantir la sécurité d’un protocole, ils aident simplement à repérer quelque chose dont l’équipe elle-même n’était pas au courant. Finalement, il s’agit d’un examen par les pairs et nous devons trouver, en tant que communauté, des incitations pour permettre à davantage d’experts en sécurité de pénétrer dans l’espace. »

“Pas de balles d’argent”

Bonassi devrait être un nom familier à quiconque a suivi la récente vague d’exploits. Le développeur italien fait partie de la demi-douzaine de pirates au chapeau blanc qui se réunissent fréquemment à la suite d’une attaque dans le but de reproduire l’exploit et d’aider les projets à corriger les vulnérabilités.. 

Interrogez n’importe quel fondateur de DeFi sur Bonassi et ses camarades «war room» post-exploit, et ils ne tarderont pas à chanter leurs louanges..

«La communauté DeFi a la chance d’avoir des whitehats tels que Samczsun et Emiliano. Leurs efforts […] rendent l’espace non seulement plus sûr, mais soulignent également le récit selon lequel il y a beaucoup de gens dans notre écosystème qui se soucient du succès de l’espace », a déclaré Kulechov.

Bien que les compétences de réponse des whitehats soient largement appréciées, ReviewsDAO est en quelque sorte un effort pour réduire la fréquence à laquelle les projets en ont besoin..

Pour Bonassi, la tension entre les besoins des projets et les ressources limitées des cabinets d’audit affaiblit la sécurité de l’espace Defi au sens large: les auditeurs sont toujours occupés, mais les équipes au cœur de la course à l’innovation DeFi doivent rester agiles. Alors qu’un projet peut souhaiter un audit sur quelques petits changements, la disponibilité et les coûts nécessitent souvent une commande plus importante, ce qui entraîne une «segmentation» du code.

«Puisqu’ils ne sont pas disponibles, vous préparez généralement un tas de choses que vous voulez examiner et leur expédiez. L’interaction est vraiment, disons, basée sur des instantanés, plutôt que d’avoir une collaboration continue », a déclaré Bonassi.

Alors, comment permettre des revues de sécurité plus fréquentes qui répondent mieux aux besoins des projets? Bonassi dit qu’il a initialement envisagé une subvention Gitcoin pour un groupe de whitehat comme une solution, mais a finalement déterminé qu’un tel modèle serait trop centralisé et ne pourrait pas évoluer. Aucun de ses pairs whitehat ne savait non plus comment résoudre le problème, alors il a opté pour la simplicité..

Le guide définitif sur la façon dont la mise à l’échelle des primes de bogues stimulera DeFi et la sécurité des contrats intelligents, de notre PDG @MitchellAmador:

– Les contrats intelligents sont difficiles à protéger

– Les primes de bogue sont des changeurs de jeu incitatifs

– La mise à l’échelle des primes de bogues protégera la communautéhttps://t.co/szvOn2JQu7

– Immunefi (@immunefi) 18 février 2021

“Si vous n’avez aucune idée, partez de l’essentiel: démarrez un forum, disons un” marché “, où les gens peuvent demander des avis petits ou grands et également offrir leur expertise.”

Il ne vise pas à remplacer entièrement les audits et les sociétés d’audit, note Bonassi, et envisage plutôt le DAO comme celui qui peut aider les jeunes projets à mieux se préparer à un audit en fournissant un «examen continu» et un «audit liquide».

C’est un modèle qui, selon Maurelian, expert en sécurité chez OptimismPBC, laisse de la place aux grands cabinets d’audit, tout en reconnaissant qu’il doit également y avoir d’autres solutions de sécurité.. 

«À l’OMI, il y a une valeur réelle à un audit par un cabinet de haute qualité, et rien d’autre ne sert vraiment d’alternative, mais je pense aussi qu’il y a un problème de dépendance excessive aux audits pour assurer la sécurité», a-t-il déclaré.. 

Bonassi pense également que ReviewsDAO pourrait éventuellement devenir une sorte d ‘«université» d’audit, où les personnes ayant des connaissances spécialisées peuvent se diversifier dans d’autres domaines et les jeunes développeurs peuvent devenir des auditeurs à part entière – à la fois en prenant en compte et en renforçant les ressources de développement de DeFi..

«Mon objectif est également de cartographier les personnes et les projets – avoir un endroit transparent où les gens peuvent échanger des informations, nous aide à comprendre combien de personnes qui sont, fondamentalement, suffisamment bonnes du point de vue de la sécurité, sont présentes dans l’écosystème.»

La peau dans le jeu

Bien qu’il réponde à un besoin clair du marché, Bonassi dit qu’il n’y a actuellement aucun plan de monétisation ou de jeton ReviewsDAO.

«Je pense que des initiatives comme celle-ci devraient être des biens communautaires», affirme-t-il..

Cet effort pour éviter les incitations en capital est plus qu’un simple idéalisme. Ces nouveaux projets d’audit surviennent parce que le modèle actuel n’est pas totalement viable, dit Bonassi – un modèle «transactionnel», ce qui signifie que les auditeurs n’ont pas la peau du jeu qu’un partenaire plus engagé. En conséquence, l’ensemble du paysage DeFi (que les auditeurs devraient ostensiblement garantir) souffre.

«Ce n’est pas une relation. Ce n’est pas un partenariat », déclare Bonassi.

Néanmoins, même le bien public a souvent un financement public, et la question reste ouverte de savoir si les développeurs – qui sont souvent surchargés de travail au départ – seront prêts à donner du temps à ce qu’Andre Cronje appelle le «tarif Emiliano Bonassi»: pour aucune autre récompense que le reconnaissance.

Bonassi note que plusieurs fondateurs majeurs du protocole DeFi ont offert des subventions, qui jusqu’à présent ont été refusées. Il est têtu de voir si les développeurs sont prêts à redonner à l’espace qui leur est souvent accordé, même s’il existe d’autres options potentiellement lucratives..

«Ce dont nous avons vraiment besoin dans cet écosystème, c’est de plus de gens qui y travaillent – disons, quelqu’un peut me détester mais moins de fourchettes si elles n’ajoutent pas de valeur […] Je ne veux pas finir dans l’ICO ère. Je ne veux pas revenir en 2017. »

LE POSTE D’INTRO.

Si vous voulez vous impliquer, rejoignez la discorde et dites-moi comment vous voulez vous impliquer.https://t.co/7AZSlMDKS9https://t.co/3YyPmKqs6I

– Code 423n4 (@ code423n4) 15 février 2021

Les premiers retours sur l’effort sont prometteurs. Couverture / protocole d’assurance La couverture a été le premier projet à être jumelé à un évaluateur via ReviewsDAO.

«C’était génial», déclare Pumpkin, un développeur de base pour Cover Protocol et Ruler Protocol. «J’étais l’un des rares avec qui Emiliano a partagé l’idée juste avant sa sortie. J’ai tout de suite adoré car c’est ce que je cherchais (pour obtenir des révisions de code externes et plus facilement et plus rapidement) […] Je ne suis pas sûr de ce qui sortira de la revue, mais le forum fonctionne certainement bien aussi destiné.”

Maurelian pense également qu’il y a de l’espoir pour le modèle peut-être idéaliste – et qu’il pourrait être plus transactionnel qu’il n’y paraît à première vue.

“Tu reçois ce que tu donnes. Donc, participer à un projet comme celui-ci est probablement une bonne idée si vous prévoyez d’être dans l’espace sur le long terme », a-t-il déclaré..

Même si certains développeurs donnent du temps pour s’attirer des faveurs futures, Emiliano reste résolu dans sa vision selon laquelle les efforts visant à sécuriser l’écosystème devraient provenir d’un lieu d’altruisme et d’amour..

«C’est l’idéal que nous devrions promouvoir. Et comme nous avons beaucoup d’argent, et que cette industrie a beaucoup d’argent, vous n’êtes pas censé avoir besoin de primes, vous êtes censé le faire parce que vous aimez cette industrie. C’est un appel à toutes les personnes qui souhaitent développer l’écosystème. »

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map