Investor's wiki

Attaque de défaut de conception

Attaque de défaut de conception

Une attaque par défaut de conception fait référence à une attaque dans laquelle un utilisateur malveillant crée délibérément un contrat intelligent, un marché décentralisé ou un autre logiciel connaissant certaines failles afin de ** tromper les personnes interagissant dans l'environnement sans autorisation. **

Une attaque par défaut de conception présente généralement de fortes incitations apparentes pour les utilisateurs à verrouiller leurs fonds dans un contrat intelligent. Une définition erronée dans certaines règles entourant le contrat, ou le protocole sur lequel il est construit, peut conduire à un règlement ou à un déblocage de fonds injustes.

Une attaque par défaut de conception peut également être menée lorsqu'un utilisateur malveillant décide d'exploiter les défauts d'un contrat créé par un autre utilisateur sans aucune intention malveillante. Dans ce cas, l'attaque s'appuierait sur l'asymétrie des informations entre l'attaquant et tout participant potentiel au réseau ouvert.

Exemples

Les marchés de prédiction sur la plate-forme Augur sont l'une des cibles des attaques par défaut de conception. Par exemple, bon nombre de ses marchés défectueux reposent sur des définitions vagues et peu claires, dans le but ultime d'inciter les utilisateurs à parier de l'argent dans un contrat dont le résultat sera contesté en raison de paramètres et d'interprétations contradictoires.

D'autres attaques potentielles de défauts de conception peuvent cibler des oracles ou des sources de données telles que les flux de prix. Par exemple, un attaquant pourrait délibérément cibler un marché ou un protocole qui s'appuie sur une seule API de source de prix externe qui peut être obsolète avant une date d'expiration/de règlement du contrat, donnant ainsi à l'attaquant l'avantage de pouvoir manipuler tous les contrats intelligents s'appuyant sur cette la source de données.