IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un développeur d'une plateforme d'échange de cryptomonnaies entre une commande erronée et détruit tout le système,
Le rapport d'incident indique qu'il a bloqué 661 000 dollars à jamais

Le , par Bill Fassinou

183PARTAGES

10  0 
OptiFi, un protocole de finance décentralisée (DeFi) axé sur les produits dérivés et basé sur la blockchain Solana, a accidentellement fermé sa plateforme Mainnet à la suite d'une erreur de programmation, rendant tous les fonds désormais inaccessibles. Le problème est survenu lorsque l'entreprise a tenté de mettre à jour son code, mais le développeur chargé de la mise à jour a saisi la mauvaise commande. Le rapport d'incident, publié mardi, indique que quelque 661 000 dollars en USDC sont désormais bloqués de façon permanente dans le programme. OptiFi a toutefois déclaré qu'il rembourserait intégralement les utilisateurs concernés.

DeFi (decentralized finance – finance décentralisée) est le terme utilisé pour décrire les transactions financières effectuées sur une blockchain sans l'intervention d'un intermédiaire. Bien que les partisans des cryptomonnaies vantent les avantages de ce système, il y a plusieurs risques associés à la DeFi qui sont liés aux vols (rug pulls) et à la fraude, mais c'est l'un des premiers cas où une erreur de programmation a entraîné la destruction complète du système. OptiFi a expliqué lundi que l'un de ses développeurs a utilisé la commande solana program close lors de la mise à jour du système, mais qu'il s'agissait de la mauvaise commande.

« Le 29 août, vers 06:00 UTC, nous avons effectué une mise à jour du code de notre programme Solana, notre déployeur a donc essayé de mettre à jour le programme OptiFi sur le réseau principal Solana. Cependant, nous avons accidentellement utilisé la commande solana program close, ce qui a entraîné la fermeture de notre programme OptiFi sur le réseau principal. Tous les fonds des utilisateurs et les positions ouvertes sur OptiFi ont été verrouillés dans les PDA, 661K$ au total (coffre-fort de l'AMM, compte utilisateur, etc.) et il n'est pas possible de les récupérer au moment de l'écriture », explique OptiFi dans son rapport d'incident.



L'expérience d'OptiFi démontre une nouvelle fois qu'une seule erreur dans la DeFi peut avoir des résultats permanents et très coûteux. OptiFi a promis de rembourser tous les fonds des utilisateurs, mais a expliqué qu'environ 95 % des fonds cryptographiques inaccessibles étaient détenus par un membre de l'équipe. Le processus de remboursement devrait prendre jusqu'à deux semaines. Dans le rapport, OptiFi a détaillé le processus par lequel ses développeurs ont accidentellement fermé l'accès au programme. « OptiFi tirera les leçons de cette mésaventure et continuera à construire pour tous ceux qui nous font confiance », a-t-il tweeté.

« Sincères excuses à tous les utilisateurs qui nous ont fait confiance et ont été affectés par nos erreurs », a ajouté la société. Si l'équipe d'OptiFi a assumé l'entière responsabilité de l'erreur qui a conduit au verrouillage permanent de son programme, elle a toutefois profité de l'occasion pour faire des suggestions aux développeurs principaux de Solana pour aider les autres à éviter une situation similaire. L'équipe d'OptiFi souhaite une documentation plus officielle sur la commande solana program close, ainsi qu'une étape de confirmation supplémentaire pour les développeurs d'applications avant de confirmer l'instruction.

« Nous demandons à tous les développeurs de Solana de faire attention lors de l'utilisation de solana program close. Nous suggérons aux responsables de Solana d'ajouter l'avertissement concernant le résultat irrécupérable de la fermeture d'un programme dans les documents de Solana et dans l'interface en ligne de commande (CLI) pour aider les développeurs de Solana à comprendre cette fonction », a déclaré l'entreprise. OptiFi s’était lancé sur le Mainnet de Solana au début du mois. La mise à jour devait permettre de déployer une nouvelle version de son programme avec de nouvelles fonctions utiles, mais a loupé son coup.

« Chaque déploiement a besoin d'un processus rigoureux et l'échec d'un point unique peut être évité. S'il vous plaît, ne vous précipitez pas comme ce que nous avons fait, en particulier pour les projets DeFi », a déclaré l'équipe d'OptiFi. La mésaventure d'OptiFi rappelle l'incident rapporté récemment par l'équipe de Crypto.com, une plateforme d'échange de cryptomonnaies. Crypto.com a transféré accidentellement 10,5 millions de dollars australiens (~7,2 millions de dollars américains) à un client australien au lieu d'émettre un remboursement standard de 100 dollars australiens (~68 dollars américains) en raison d'une erreur de frappe.

Crypto.com n'aurait remarqué l'erreur que sept mois plus tard, et à ce moment-là, une partie de l'argent avait déjà disparu. Le transfert initial aurait eu eu lieu en mai 2021 après qu'un employé a accidentellement tapé un numéro de compte dans le champ du montant du paiement. Crypto.com ne se serait rendu compte de l'erreur qu'en effectuant un audit en décembre 2021. Au lieu de signaler le remboursement incorrect à Crypto.com, la cliente en question, Thevamanogari Manivel, aurait transféré l'argent sur un compte commun et dépensé environ 890 526 dollars US dans une luxueuse maison de cinq chambres pour sa sœur.

Aujourd'hui, la société se bat pour récupérer son argent en intentant un procès devant la Cour suprême de Victoria. Crypto.com a réussi à geler le compte de Manivel en février. Le tribunal a également ordonné à Manivel de vendre la maison et de restituer l'argent (avec les intérêts) à la bourse. L'affaire reprendra au tribunal en octobre prochain. Enfin, dernièrement, le volume des ventes de NFT et les prix des cryptomonnaies ont considérablement baissé, un ralentissement qui a été appelé "hiver cryptographique". Cette situation a fait perdre des millions de dollars aux investisseurs depuis le début de l'année.

Précédemment, Nomad, un service de transfert de cryptomonnaies interblockchain, a perdu plus de 150 millions de dollars à cause d'une erreur de codage. Les chercheurs en sécurité ont révélé que la vulnérabilité exploitée par les attaquants résidait dans le contre intelligent de Nomad. Un audit du code de Nomad aurait révélé cette faille un mois plus tôt, mais l'entreprise ne l'a pas corrigée. Les incidents de ce type, notamment les attaques des pirates informatiques, sont fréquents et mettent en évidence les faiblesses de la finance décentralisée.

Source : OptiFi

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la mésaventure de l'équipe d'OptiFi ?
Que pensez-vous des recommandations de l'équipe d'OptiFi aux développeurs de Solana ?
Que pensez-vous de la finance décentralisée (DeFi) ? Ses avantages l'emportent-ils sur les risques ?

Voir aussi

Crypto.com transfère accidentellement 10,5 Ms $ à une femme au lieu de 100 $. Près d'un an plus tard, la plateforme exige le remboursement total de la somme et lance une action en justice

Le concept du Web3 est-il une nouvelle fumisterie ? Ses partisans pensent que c'est le seul moyen de retrouver les libertés d'Internet, mais les critiques estiment qu'il s'agit juste d'un "buzzword"

Le volume des transactions sur la première place de marché de NFT, OpenSea, a baissé de 99 % depuis le mois de mai, ce qui indique que la bulle NFT continue à se résorber

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de TotoParis
Membre éprouvé https://www.developpez.com
Le 01/09/2022 à 22:46
J'hallucine de plus en plus devant tant de bêtise. On tape "solana program close", et paf ! on bloque définitivement 661 000 dollars...
Pas de double ou triple confirmation de la commande. Pas d'avertissement. Et c'est un "développeur" qui est chargé tout seul comme un grand de réaliser la mise à jour.

Mais je me demande comment c'est possible. Selon https://docs.solana.com/cli/deploy-a-program la commande est "solana program deploy <PROGRAM_FILEPATH>".
Bon, après ce milieu m'est totalement opaque. mais une double voir triple vérification par 2 ou 3 personnes physiques n'est pas une option.

https://medium.com/coinmonks/solana-...d-d0ae52601b99 on a un peu plus de détails techniques :

On closing a Solana program
Both Solana program and buffer accounts can be closed by their upgrade authority, and their lamport balances will be transferred to a recipient’s account.

Donc les fonds sont bien transférés sur un compte ?
Je ne comprend pas comment la fermeture du smart contract a pu être décidée...

https://fr.wikipedia.org/wiki/Contrat_intelligent
3  0 
Avatar de Washmid
Membre averti https://www.developpez.com
Le 02/09/2022 à 6:39
In code we trust
2  0 
Avatar de mith06
Membre éprouvé https://www.developpez.com
Le 02/09/2022 à 10:07
Si une unique personne est capable de bloquer des fonds cela devient de Centralized Finance et non de la Decentralized Finance (DEFI)
2  0 
Avatar de pierre-y
Membre chevronné https://www.developpez.com
Le 02/09/2022 à 16:47
Mais du coup la somme bloqué va a qui dans ces cas la? J'ai du mal a comprendre.
2  1