pfe-blockchain/team_centralisé/notes_rom1.md

Notes team centralisé

Web3sec

https://web3sec.notion.site/web3sec/Web3-Security-ddaa8bf9a985494dbaf70d698345b899

Résumé

Groupe de recherche et de partage d'informations sur la sécurité du web3.
Base de données d'incidents avec sources ( + Github de reproduction des incidents)
Incidents sur des bridges :

• Li.Fi
  • api pour creer un lien entre des blockchains
  • vulnérabilité dans les smartcontract
  • 600k volé sur 29 wallet (remboursés)
  • bug fixé
  • exploit sur la fonctionnalité de swap avant bridge (?)
  • https://twitter.com/lifiprotocol/status/1505738407938387971
  • https://blog.li.fi/20th-march-the-exploit-e9e1c5c03eb9
• Meter
  • exploit :
    • methode deposit() utilisée avec wrapped token (?)
    • le Handler a une condition spéciale qui présume que si c'est wrapped, alors les assets sont déja transférés
  • erreur d'implémentation
  • methode depositEth() implémentée par meter, mais la methode deposit() originale est quand meme dispo
• Qubit Finance
  • voir au dessus
• Multichain (Anyswap)
  • https://medium.com/zengo/without-permit-multichains-exploit-explained-8417e8c1639b
  • https://twitter.com/PeckShieldAlert/status/1483363515411099651
  • exploit : get eth avec une signature non valide

• Poly network

• Chainswap

DeFiHackLabs

Github de reproduction des incidents (DeFiHackLabs) : https://github.com/SunWeb3Sec/DeFiHackLabs

• POCs
• Contrats
• Reprend la bdd

DeFiVulnLabs

https://github.com/SunWeb3Sec/DeFiVulnLabs Apprentissage des vulnarabilités communes des smartcontracts

==========================================================================================

https://aucoindubloc.com/qu-est-ce-qu-un-bridge-pont-crypto-et-comment-ca-fonctionne/

Bridge -> echange entre blockchains centralisé car on doit faire confiance au bridge

étapes :

• envoi des cryptos dans un smartcontract
• le smart contract verouille les crypto dans la blockchain source (pour ne pas les utiliser sur les 2 blockchain)
• copie du smartcontract sur la blockchain destination (oracle blockchain = verification)

frais sur les transferts /!\ a la fiabilité du bridge

Oracle en crypto : "pont entre la blockchain et le monde réel" Protocole qui transmet des informations fiables et vérifiées par le biais d'interaciton avec les smart contracts Execution en fonction des condifitons fixés

https://ethereum.org/en/bridges/

catégories de bridges : trusted et trustless

Trusted bridges :

• dépend d'une entité centrale / d'un système dédié aux opérations
• soit disant sur, on se base sur l'opérateur réputation/fiabilité
• les utilisateurs donnent le controle de leurs cryptos

Trustless bridges :

• utilise des Smartcontracts et des algorithmes
• trustless : la sécu = sécu de la blockchain rattachée (https://blog.connext.network/the-interoperability-trilemma-657c2cf69f17 check ça)
• grace aux smart contracts les utilisateurs gardent le controle de leur cryptos

Risques :

• Smart contracts : erreurs d'implementations, etc
• risques technologiques : bugs, crash, attaques etc

Pour les trusted bridges :

• censure : l'autorité peut empecher les users de transferer des cryptos
• vol d'argent

Top des attaques sur des bridges : https://rekt.news/leaderboard/

Stratégies de secu cross-chain : https://debridge.finance/blog/10-strategies-for-cross-chain-security/

https://arxiv.org/pdf/2204.08664.pdf

Papier sur l'utilisation de CEX vs DEX conclusion :

• CEX meilleure ergonomie (pensé grand public plus commercial etc)
• CEX frais d'utilisation plus bas que DEX ----> Faux ???
• CEX controlés par les gouvs, moins de confidentialité que DEX
• Dans l'exemples, ce sont chercheurs chinois qui acceptent que leur onfidentalité soit compromise par les CEX