Faites connaissance avec FumbleChain, la blockchain délibérément imparfaite


FumbleChain fait de briser les blockchains un sport.

Démontrée pour la première fois jeudi dernier à la, cette technologie délibérément défectueuse est censée servir d'outil pédagogique pour les développeurs de systèmes de cryptographie.

«En gros, c’est ce que les gens appellent FCT, ou« capturez le drapeau »», a expliqué Nils Amiet, ingénieur en sécurité de l’un des principaux développeurs du projet. «Chaque fois que vous résolvez un défi, vous obtenez le drapeau. … Les défis sont assez techniques. ”

À travers ces défis organisés et lus, l'objectif est d'enseigner aux utilisateurs les complexités de la technologie de blockchain.

Selon Dan Guido, cofondateur et PDG de la société de cybersécurité Trail of Bits, qui a audité plus de 20 projets différents de crypto-monnaie, FumbleChain est similaire à celui utilisé dans le développement de logiciels traditionnels.

«Les compétitions et les exercices d’entraînement sont utilisés dans l’ensemble du secteur de la sécurité, parfois lors de compétitions en direct de 30 000 joueurs ou plus à la fois, pour aider à éduquer et à démontrer les connaissances acquises par les participants», a déclaré Guido, ajoutant:

"Il est trop tard pour que la sécurité de la blockchain dispose de son propre wargame."

Les utilisateurs collectent des points de jeu appelés «fumblecoins» chaque fois qu'ils exploitent une vulnérabilité dans la blockchain de FumbleChain et capturent un drapeau. (Les pièces n’ont que de la valeur dans le jeu lui-même.) Amiet de Kudelski dit que la technologie de base de FumbleChain "ressemble beaucoup à du bitcoin", mais qu’elle est plus simple.

Daryl Hok, COO de CertiK, société de cybersécurité blockchain, a déclaré que FumbleChain était conçu pour rendre le blockchain «accessible» aux ingénieurs issus d'horizons divers.

"(FumbleChain) fournit un modèle de wargames gamifié qui peut intéresser un large public grâce à son accessibilité et à ses incitations", a déclaré Hok. «Le projet se concentre actuellement sur les attaques au niveau du code source, par opposition aux attaques à caractère économique, mais cela pourrait être quelque chose qui sera ajouté à l'avenir.»

En effet, le responsable de la recherche sur la cybersécurité chez Kudelski, Nathan Hamiel, espère que FumbleChain prendra son envol maintenant que le code a été ouvert.

«Tant de projets comme celui-ci ont tendance à disparaître au fur et à mesure que les gens passent à autre chose», a déclaré Hamiel. «Je pense que la seule façon d'avoir un projet aussi réussi est de le rendre open-source. … Nous espérons que les gens continueront non seulement à utiliser, mais aussi à développer de nouveaux défis, et qu’ils participeront pleinement au projet. ”

Leçons de la bataille

FumbleChain est né après que Kudelski eut mené à bien un certain nombre d'audits de sécurité pour des projets de crypto-monnaie, y compris des pièces privées, a déclaré Hamiel.

Le premier défi de FumbleChain simule ce que l’on appelle une attaque par rejeu, dans laquelle des transactions en double sont générées sur deux chaînes distinctes. Ce vecteur d’attaque était une source de préoccupation lors de la scission en chaîne entre bitcoin et bitcoin cash.

Parmi les autres vecteurs d’attaque blockchain identifiés sur FumbleChain figurent la validation des entrées de transaction, l’adéquation des clés publiques et des adresses de portefeuille, ainsi que les attaques par déni de service ou «spam».

Au sujet de ces vulnérabilités réseau, Hamiel a déclaré:

«L’écosystème blockchain présente nombre des vulnérabilités d’un écosystème (logiciel) traditionnel. Si vous y réfléchissez à un niveau bas, une blockchain n'est pas très utile sans l'écosystème qui l'entoure… des échanges, des portefeuilles, etc. ”

En tant que tel, FumbleChain propose également un portefeuille Web basé sur un navigateur et un explorateur de chaînes de blocs pour déconner.

Renforcer encore FumbleChain pour inclure à la fois des défis de contrat intelligents et des leçons à tirer sont les prochaines étapes que Hamiel et Amiet espèrent voir dans les mois à venir.

À tout le moins, explique Marc Laliberte, analyste principal de la sécurité chez WatchGuard Technologies, FumbleChain pourrait avoir un impact sur les applications de blockchain existantes en créant des opportunités d’apprentissage pratique.

Laliberte a déclaré:

“L'expérience de l'identification et de l'exploitation de vulnérabilités communes est un excellent moyen d'apprendre à ne pas commettre les mêmes erreurs vous-même. FumbleChain offre aux développeurs et aux passionnés l’occasion de se familiariser avec les failles communes et de s’amuser dans un écosystème sécurisé, puis de transférer ces connaissances dans leurs propres applications. ”

Image FumbleChain via Kudelski Security