Le but intentionnel de la méthode de splitting de la DAO était de permettre à quiconque désirant céder ses jetons DAO de le faire par la création d’une child DAO, de s’en faire le seul curateur, et de white-lister son adresse pour enfin créer une proposition pour retirer ses propres fonds. Une stratégie assez lourde, mais peu importe. Le problème est que l’attaquant a retiré ses fonds sur un contrat spécial qui possédait une fonction par défaut qui entrait à nouveau dans #TheDAO pour répéter le retrait une infinité de fois. Cela n’aurait pas posé de problème si la balance n’était pas rafraichie APRES la fin d’exécution de la fonction d’envoie, ce qui permet à l’attaquant de complètement siphonner #TheDAO.

Cet évènement a déclenché un grand débat sur la manière d’appréhender l’attaquant, mais ce qui nous intéresse ici n’est pas de savoir comment réagir, mais plutôt comment éviter à la base que cela ne se produise. La portée de l’attaque et les dommages auraient pus être énormément diminués en utilisant les méthodes expliquées dans le Expanse Whitepaper.

Deux mots: compartimentation et limites

La DAO Expanse, comme décrit dans le Whitepaper, est un système de divisions parent/enfants qui sont complètement isolées les unes des autres. Plus simplement, il existe une division mère qui possède 3 divisions enfants. Nous avons temporairement nommé ces divisions [Division Fondateurs], [Division Communauté], [Division du Conseil d’Administration]. Chaque division enfant a la possibilité de soumettre une demande de prestation à la division mère. Une demande de prestation peut être accordée à la division enfant qui la demande seulement si 2 des 3 divisions enfants autorisent cette demande.

Mais alors comment cela aurait-il pu éviter à #TheDAO d’être pillée? C’est simple.

Exemple: Mettons qu’un acteur néfaste créé une proposition de dépense avec la « Division du Collectif ». La « Division du Collectif » est un smart contract par démocratie directe possédant une réserve de $1 000 000. Un participant soumet ensuite une requête de dépense, mais ayant connaissance d’une boucle de dépense lui permettant de recevoir plus qu’il ne devrait, il siphonne le collectif de ses $1m.

C’est un évènement tragique, la communauté vient de perdre $1m. Le Collectif est maintenant ruiné, et aucunes des autres demandes de prestation ne peuvent alors être financées. La seule manière pour cette division d’obtenir de nouveaux financements est d’effectuer une demande de prestation auprès de la division mère que les autres divisions enfants accepteraient. Mais pourquoi dépenseraient-ils encore plus? Ce contrat est intrinsèquement faillible. Le Whitepaper met également en évidence la nécessité d’une capacité de mise-à-jour, afin qu’un contrat puisse remplacer sa version désuète par un code amélioré. C’est l’évolution des versions d’un contrat, mais nous conservons ce sujet pour un autre post plus tard.

Nous avons parlé de la compartimentation, parlons maintenant des limites.

Imaginez maintenant qu’un acteur néfaste extorque des fonds à la DAO et réussit on ne sait comment à contrôler l’une ou les deux autres divisions enfants. Il peut donc passer seul et à loisir des demandes de prestation. Cela semble être le pire scénario, et ce serait effectivement assez terrible. Mais la DAO Expanse aura des sécurités intégrées sous la forme de limites à la fois dans le temps et dans les montants. Premièrement, une division enfant ne peut émettre qu’une seule demande par mois à la division mère, comme déterminé par le nombre de blocks mensuel, et deuxièmement cela ne peut se faire qu’à un taux max limité par un certain pourcentage du total des fonds de sa division mère. Ainsi, chaque fois qu’une division enfant se voit accorder une demande, elle diminue également le montant maximum qu’elle pourrait recevoir la fois suivante. Cela ajoute des éléments tampons qui laissent à la communauté le temps de réagir sans avoir à faire de softfork, hardfork, et autres spoonforks peu commodes.

En conclusion, nous ne pouvons pas prédire le futur, mais nous pouvons essayer de mettre en place le code le plus sûr et le mieux pensé possible. Avec une planification méticuleuse et en mettant en œuvre des sécurités intégrées comme la compartimentation et les contraintes de limites, nous augmentons nos chances de parer avec succès des comportements indésirables qui pourraient compromettre nos projets et ce que nous défendons.

Cet article La réponse d’Expanse aux problèmes de #TheDAO est issue du site Le Coin Coin.

ÉTABLIR UNE BASE EN TERME DE SÉCURITÉ

La proposition, créée par le Cryptocurrency Certification Consortium (C4) et officiellement dévoilée le 11 Février lors de la conférence Devcore à Boston dans le Massachusetts, à pour but de fournir une norme sur laquelle les échangeurs et les fournisseurs de portefeuilles pourraient se baser.

Appelé le Cryptocurrency Security Standard (CCSS), ce projet propose dix approches concernant la génération des clés et des seed, le stockage et l’utilisation, la preuve de réserve et les audits de sécurité, le tout associé à trois niveaux distincts correspondant à des niveaux de sécurité différents.

C4 est une organisation à but non lucratif, qui délivre des certificats attestant la connaissance des crypto-monnaies d’une personne. Le conseil d’administration de C4 comprend Michael Perklin, le fondateur de Bitcoinsultants, Vitalik Buterin créateur de Ethereum , le fondateur de CryptAcademy Russell Verbeeten, et Joshua McDougall, co-fondateur de Coindroids.

Selon Perklin le CCSS peut aider à établir une base de protocoles de sécurité pour les échangeurs afin de se prémunir contre le risque de vol ou de fraude, expliquant:

Jusqu’à présent, notre industrie des crypto-monnaies n’a pas de standard similaire pour sécuriser les crypto-monnaies. Chaque entreprise a en quelque sorte « fait cavalier seul », et fait ce qu’elle pense être le mieux en ce qui concerne la sécurisation de ses fonds et de ceux des clients, ce qui a conduit à quelques bons exemples de réussite, mais aussi à plusieurs échecs spectaculaires .

UN SOUTIEN ATTENDU

Cette proposition de standard de sécurité peut être une bonne chose pour les nombreux gouvernements et pays qui continuent de débattre de l’avenir des crypto-monnaies. L’instauration de ce standard pourrait aider les régulateurs à cadrer les crypto-monnaies, mais aussi à mieux protéger les utilisateurs.

Perklin a déclaré que le CCSS a déjà attiré l’attention de nombreuses sociétés de l’environnement Bitcoin, et il dit s’attendre au soutien des organismes de réglementations.

Selon Perklin, la prochaine étape du CCSS consistera à analyser et à répondre aux commentaires de la communauté, ce qu’il décrit comme quelque chose de positif et de constructif. C4 lancera plus tard ce mois-ci, une campagne de crowdfunding visant à mobiliser des capitaux de départ pour soutenir le développement continu du Cryptocurrency Security Standard.

Source : Coindesk

Cet article Des standards de sécurité proposés pour les échangeurs Bitcoin est issue du site Le Coin Coin.

Le malware, dont les initiales signifient «Curve Tor Bitcoin Locker», a été identifié l’an dernier, la propagation par spam semble être quelque chose de relativement nouveau pour ce malware. Dans un avertissement publié la semaine dernière, McAfee définit CTB-Locker comme une sorte de ransomware qui crypte des fichiers sur l’ordinateur cible.  La victime infectée doit alors payer une rançon de trois bitcoins pour voir ses fichiers décryptés.

COMMENT FONCTIONNE T’IL ?

Lors de son installation, CTB-Locker injecte du code malveillant dans le fichier «svchost.exe», créant une tâche planifiée pour le déplacement et le cryptage des fichiers.

Le malware crypte les fichiers ciblés en utilisant la méthode de cryptographie ECC (Elliptic Curve Cryptography). L’ ECC  est 12 fois plus puissante que la méthode RSA : un chiffrement 3072 bits avec la méthode RSA correspond à un chiffrement 256 bits en ECC.

Une fois que le cryptage est terminé, l’utilisateur voit apparaitre un message dans une fenêtre pop up disant que ses fichiers ont été cryptés. Un compte à rebours de 96 heures commence aussitôt. Si l’utilisateur ne verse pas les bitcoins demandés dans les 96 heures, il devient alors impossible de décrypter les fichiers touchés. La fenêtre qui apparaît permet à la victime de voir les fichiers qui ont été cryptés, et indique comment verser les bitcoins réclamés.

DES NOMS DIFFERENTS

McAfee a détecté CTB-Locker sous trois noms différents: BackDoor-FCKQ, Downloader-FAMV et Injector-FMZ. Symantec identifie Trojan.Cryptolocker.E. comme la charge active finale. Le malware se propage via les campagnes de spam, dans une archive .zip stockée dans un autre fichier .zip. Le fichier zippé contient le programme pour que CTB-Locker se télécharge.

Jusqu’à présent, les chercheurs ont découvert différents noms pour stocker l’utilitaire de téléchargement:

malformed.zip

plenitude.zip

inquires.zip

simoniac.zip

faltboat.zip

incurably.zip

payloads.zip

dessiatine.zip

Mis à part donner des conseils de protection standards comme ne pas ouvrir les fichiers .zip provenant de sources douteuses, et fournir des renseignements sur CTB-Locker, aucune solution miracle ne pourra être apportée pour parer ce malware.

Si les victimes attendent trop, ou ne payent pas la rançon demandée, il n’y a alors pratiquement aucun moyen de récupérer les fichiers cryptés. La meilleure façon de réduire l’impact d’une éventuelle infection, est de faire des sauvegardes de ses fichiers régulièrement.

Source : Coindesk

Cet article Un ransomware Bitcoin se propage via les spams est issue du site Le Coin Coin.

QUELLE ORIENTATION ?

Ce genre de situation devraient augmenter de plus en plus si l’on en croit l’analyse Silbert qui pense que 2014 sera l’année du Bitcoin à Wallstreet. Les sociétés fleurissent autour du Bitcoin et ces premières grandes sociétés font tout pour pouvoir s’intégrer sur le marché de l’entreprise le plus rapidement possible et de devenir les grandes entreprises Bitcoin de demain. Cette levée de fond, en effet va permettre à Bitgo de proposer des services professionnels plutôt que grand public et ainsi commencé à fidéliser la clientèle la plus importante : les pros. Mais qu’est que BitGo ?

ADRESSES À MULTI-SIGNATURES

BitGo est une société qui a pour but de sécuriser à un dégrès supérieur les transactions financières à partir d’un wallet. Il permet un peu à la manière d’une authentification à deux facteurs de demander plusieurs confirmations pour l’envoi d’argent. Cela permet, outre la sécurité, une meilleur gestion de compte communs. Car la traçabilité complexe du Bitcoin permet de facilement dévier de l’argent. Ainsi avec ce système il faut qu’un envoi soit confirmé sur plusieurs machines différentes pour qu’il s’effectue. Ainsi sur une configuration à 3 clés il faut deux clés sur trois pour que de l’argent puissent être envoyé, cela empêche le fait que si un hacker réussi à prendre le contrôle d’une machine il puisse envoyer de l’argent. Cette sécurité apporte donc deux solutions, la sécurité accrue et la gestion de compte commun. On pourra remarquer que la Blackhalo du Blackcoin devrait permettre d’effectuer ce système au sein du wallet.

Illustration du système d’adresse à multi-signatures

LE MILIEU PROFESSIONNEL S’ADAPTE

Ce genre de financement confirme le désir du monde professionel de se saisir du Bitcoin et de s’adapter le plus rapidement possible. Même si les média préfèrent afficher une réticence vis-à-vis du Bitcoin et couvrir la majorité des « scandales » et non des innovations. Le milieu professionel commence à changer d’avis et se prépare à accueillir cette révolution monétaire de grande ampleur. Ce qui est également intéressant de constater c’est la lenteur des systèmes juridiques par rapport à l’innovation, ce qui montre qu’ils ne sont peut-être plus adaptés à la nécessité de rapidité que demande notre monde actuel. Ce genre de problèmes demandant des décisions plus ou moins rapides pourraient être résolus dans l’avenir par les votes électroniques inspirés de la Blockchain. N’oublions pas que le Bitcoin n’apporte pas que des solutions monétaires, mais aussi des solutions techniques de sureté pour les actes de masses.

Cet article BitGo lève 12 millions de dollars est issue du site Le Coin Coin.