22 novembre 2024, 11:52 AM

Contrats intelligents

Sommaire

 

Le débat autour de l’organisation autonome décentralisée ( DAO)

Aujourd’hui, nous examinons de plus près ce qui s’est passé avec l’organisation autonome décentralisée. Cette affaire est pertinente pour les contrats intelligents, car la DAO, sur la blockchain Ethereum, a été créée pour investir dans des projets votés par ses membres investisseurs et ces transactions ont été gérées par un contrat intelligent. L’intention de la DAO est d’éliminer la notion traditionnelle d’organisation d’entreprise, voire d’éliminer les intermédiaires tiers dans certaines circonstances. Pensez-y comme une entreprise financée par crowdfunding qui n’a pas de gestion ou d’autorité centrale.

Dans ce cas, les investisseurs ont placé de l’Ether, la crypto-monnaie, dans la DAO comme moyen de créer une participation ou une adhésion à l’organisation. Le code décrivant la participation de chaque membre est le contrat intelligent. Une fois qu’un certain niveau de financement initial était atteint, les projets pouvaient être soumis à la DAO pour examen et votés par les membres pour acceptation ou rejet.

Tout le monde pourrait soumettre une proposition et 11 curateurs examineraient les propositions, cinq d’entre eux ayant le pouvoir d’approuver ou de désapprouver une proposition. Ensuite, en utilisant une ” transaction multi-sig “, ils signeraient/vérifieraient et permettraient à la proposition de se poursuivre. Une fois qu’un projet était approuvé, il fallait compter 27 jours entre la demande de fonds par le participant et le moment où les fonds pouvaient être retirés.

 

Ce qui s’est passé ensuite illustre le point des défis liés aux smart contracts, à savoir le codage. Comme mentionné dans mon blog précédent, le code n’est aussi fiable que ceux qui le créent en premier lieu. Malgré d’énormes quantités de capital intellectuel, qui sont souvent aidées par le débogage des logiciels, il peut être difficile, voire impossible, de tenir compte de toutes les éventualités possibles, non seulement maintenant, mais aussi à l’avenir.

Dans ce cas, la façon dont le contrat intelligent a été écrit l’a rendu sensible à un appel récursif et un pirate a profité de cette faiblesse. L’exploitation de cette faiblesse a créé un débat autour de la légalité fondamentale du contrat, indépendamment du fait que les fonds aient été restitués ou non par l’attaquant. En effet, la valeur de l’Ether dépend du consensus et de la confiance dans le code. Si cette confiance est perdue, le système échoue. Alors que de nombreux contrats intelligents continuent d’être exécutés sur Ethereum, avec l’Ether comme moyen de transfert de valeur, l’incertitude entourant les fonds volés et les vulnérabilités qu’elle a mises en lumière ont exercé une pression sur sa valeur.

Dans ce cas, l’attaquant a détourné les fonds volés dans un autre contrat intelligent avec la même période de refroidissement intégrée dans le code, donnant aux développeurs 27 jours à partir de l’attaque initiale pour trouver une solution. Pendant ce temps, les développeurs ont lancé une “attaque en chapeau blanc” pour déplacer les fonds restants et ont finalement formé un “nœud difficile” à un moment juste avant l’attaque, ce qui a créé une divergence permanente dans la blockchain. L’espoir est que la communauté des membres accepte cette solution et établisse un consensus autour des blocs de transactions sur cette version de la chaîne. Cela invaliderait les blocs/transactions de l’attaque, ainsi que tous ceux qui sont venus après, et laisserait cette chaîne “orpheline”

 

Ceci est important lorsque vous envisagez d’utiliser des contrats intelligents dans un environnement plus complexe, comme celui des produits dérivés, des obligations convertibles et des actifs titrisés. Cela met en lumière les défis qu’il y a à essayer d’utiliser des processus commerciaux basés sur les smart contracts dans le monde naissant de la blockchain d’aujourd’hui. Et, pour être clair, les investisseurs dans la DAO étaient bien informés de ses risques potentiels.

Je tiens à souligner que, bien que la DAO ait utilisé Ethereum comme base, Ethereum n’a PAS été piraté. Pour moi, dire qu’Ethereum a été piraté dans ce cas serait comme dire qu’Internet a été piraté après qu’un site Web a été attaqué ou compromis.

 

En fin de compte, cette situation malheureuse ne fait que souligner le fait que la blockchain a une courbe de maturité qui doit être réalisée avant que la notion de contrats intelligents entièrement automatisés puisse être appliquée de manière sûre et fiable aux actifs financiers. Davantage de recherche et de développement doivent être effectués en ce qui concerne la légalité des contrats intelligents par rapport aux contrats traditionnels, les menaces de sécurité à la fois pour le code sous-jacent et les entrées externes potentielles de ce code, et la façon dont les modèles de gouvernance peuvent être structurés de manière à améliorer les avantages potentiels de la blockchain sans simplement créer des applications centralisées.

Facebook
Twitter
LinkedIn