Depth analyse de la situation difficile de Safe : Guard peut-il reconstruire la tour de Babel des contrats ?

Le 21 février 2025, l'industrie des cryptomonnaies a subi une grave crise de gestion d'actifs. Le portefeuille multi-signature en chaîne d'une plateforme d'échange renommée a été piraté, près de 1,5 milliard de dollars d'actifs ont disparu silencieusement à travers une transaction "signée légalement". Les analyses ultérieures ont montré que l'attaquant avait obtenu des droits multi-signatures par des techniques d'ingénierie sociale sophistiquées, utilisant la fonction deleGatecall du contrat Safe pour implanter une logique malveillante, contournant finalement le mécanisme de vérification multi-signature pour transférer des fonds vers une adresse anonyme.

Cet événement expose la dure réalité que "la signature multiple" n'est pas équivalente à "la sécurité absolue". Même un mécanisme de sécurité comme le portefeuille multi-signatures Safe présente un risque d'être compromis s'il manque des mesures de protection supplémentaires. En fait, ce n'est pas le premier cas d'attaque contre le portefeuille multi-signatures Safe. L'année dernière, deux incidents similaires ont déjà eu lieu, causant des pertes de 230 millions de dollars et 50 millions de dollars respectivement.

L'analyse montre que ces événements d'attaque présentent les caractéristiques techniques suivantes :

1. Dépendance excessive au mécanisme de signature, transférant toute la responsabilité de sécurité à la gestion des clés privées.
2. Manque de défense dynamique, pas de scan de risque en temps réel avant l'exécution de la transaction.
3. Contrôle des permissions en gros grain, aucune mécanisme de liste blanche établi pour des opérations à haut risque telles que deleGatecall.

Le problème central de cette série d'événements n'est pas le défaut du contrat Safe lui-même, mais les vulnérabilités de sécurité dans l'ensemble du processus d'intégration du système, en particulier lors de la vérification en amont. Cela nous amène à réfléchir : comment pouvons-nous renforcer la capacité de protection des portefeuilles multi-signatures grâce aux mesures de sécurité supplémentaires de Safe ?

Introduction à Safe

Safe est un portefeuille multi-signatures principalement utilisé pour la gestion de la sécurité de stockage et de transfert des actifs de grande valeur et des cryptomonnaies. En tant qu'infrastructure de gestion d'actifs décentralisée, il assure la sécurité des opérations financières grâce à un mécanisme de validation collaborative, empêchant un seul administrateur ou un hacker d'exploiter un point de défaillance unique pour des opérations malveillantes. Safe est largement utilisé dans des scénarios tels que la gouvernance DAO, la garde des fonds d'entreprise, et les pools de fonds décentralisés.

Le contrat Safe utilise la norme EIP-712 pour mettre en œuvre la signature de données structurées, ce qui améliore la sécurité et la vérifiabilité des données de transaction. Ses fonctionnalités principales comprennent :

1. Gestion de la sécurité des fonds : nécessite la confirmation conjointe de plusieurs propriétaires prédéfinis pour exécuter la transaction.
2. Exécution et gestion des transactions : exécutez des logiques commerciales complexes grâce au mécanisme de validation multi-signatures intégré.
3. Extension modulaire : adoptez un design modulaire pour réaliser une extension fonctionnelle en héritant et en combinant plusieurs modules de gestion.

Les principales fonctions du contrat Safe incluent execTransaction (exécuter une transaction multi-signatures), checkContractSignatures et checkNSignatures (vérifier les signatures), getTransactionHash (générer le hachage de la transaction) et handlePayment (traiter la compensation des frais de gas), etc.

Bien que le portefeuille multi-signatures Safe offre une conception de sécurité rigoureuse et une structure modulaire flexible, il existe encore certains risques potentiels. Par exemple, certains portefeuilles matériels présentent une mauvaise visibilité des signatures de données structurées, ce qui peut amener les utilisateurs à ne pas identifier avec précision les données de la transaction, entraînant un risque de "signature aveugle". Pour cela, en plus d'améliorer les dispositifs matériels, il serait possible d'envisager d'ajouter des confirmations multiples, des alertes intelligentes et des outils de vérification de signature améliorés.

Mécanisme de Safe Guard

Le contrat Safe a introduit le mécanisme Guard dans la version 1.3.0, visant à fournir des conditions de restriction supplémentaires pour le schéma de multi-signature standard n-out-of-m. La valeur fondamentale du mécanisme Guard réside dans sa capacité à effectuer des vérifications de sécurité à différentes étapes de l'exécution des transactions :

1. Vérifiez (checkTransaction) avant la transaction : effectuez une vérification programmatique de tous les paramètres avant l'exécution de la transaction.
2. Vérifiez (checkAfterExecution) après la transaction : vérifiez si l'état final du portefeuille Safe correspond aux attentes après l'exécution de la transaction.

Lorsqu'elle est activée, la mécanisme Guard fait appel aux fonctions appropriées du contrat Guard pour vérifier les transactions multi-signatures exécutées par le contrat Safe. Cela permet aux développeurs de mettre en œuvre des stratégies de gestion des risques multidimensionnelles, telles que le contrôle des listes blanches de contrats, la gestion des autorisations au niveau des fonctions, les restrictions de fréquence des transactions et des règles dynamiques basées sur l'acheminement des fonds.

Récemment, plusieurs fournisseurs de portefeuilles matériels ont appelé à renforcer les capacités d'analyse et de protection des contrats Safe. Certains projets commencent à explorer des applications innovantes basées sur le mécanisme Guard, construisant des solutions de sécurité intermédiaires sur le portefeuille multi-signatures Safe. Ces solutions réalisent un contrôle d'accès sur les appels de contrats de la liste blanche, les opérations de fonctions de la liste blanche, les cibles de transfert de la liste blanche, la fréquence des transactions, etc., grâce à un examen granulaire des transactions.

Il est important de noter que Safe lui-même ne fournit que des fonctionnalités de gestion et de rappel de Guard, la logique de vérification des transactions multi-signatures doit être mise en œuvre par l'utilisateur. Par conséquent, la sécurité de Guard dépend de la qualité de son implémentation, et il est nécessaire de procéder à un audit de sécurité de l'implémentation de Guard.

Conclusion et perspectives

Les récents incidents d'attaque soulignent l'importance de mettre à jour rapidement les infrastructures de sécurité. Si la plateforme d'échange attaquée passe à une version plus récente du contrat Safe et met en œuvre un mécanisme de Guard approprié, cela pourrait permettre d'éviter des pertes énormes.

Face à des techniques d'attaque de plus en plus sophistiquées, la gestion des actifs numériques dans le futur nécessite :

1. Établir un mécanisme de validation des transactions automatisé
2. Ajuster les stratégies de sécurité en temps réel en fonction des renseignements sur les menaces
3. Combiner plusieurs mécanismes de sécurité pour construire un système de défense en profondeur
4. Réaliser des audits de sécurité réguliers sur l'implémentation de Guard

Ce n'est qu'en intégrant le concept de sécurité à chaque étape que l'on peut construire de véritables barrières de sécurité dans le jeu continu entre hackers et gardiens. La gestion des actifs numériques de demain sera un processus d'évolution conjointe des mécanismes de sécurité des contrats intelligents et des technologies de défense.