Au printemps 2022, avant certains des événements les plus volatils ayant frappé le monde de la cryptographie l'année dernière, un artiste NFT nommé Micah Johnson a décidé d'organiser une nouvelle vente aux enchères de ses dessins. Johnson est bien connu dans les cercles cryptographiques pour ses images mettant en vedette son personnage Aku, un jeune garçon noir qui rêve de devenir astronaute. Les collectionneurs faisaient la queue pour la nouvelle version. Le jour de l'enchère, ils ont dépensé $34 millions en NFT.
Puis la tragédie (ou, selon votre point de vue, la comédie) a frappé. Le code du « contrat intelligent » que l'équipe logicielle de Johnson a écrit pour exécuter les enchères cryptographiques contenait un bug critique. La totalité des ventes de Johnson, d'une valeur de $34 millions, était verrouillée sur la blockchain Ethereum. Johnson n'a pas pu retirer les fonds ; il ne pouvait pas non plus rembourser de l'argent aux personnes qui auraient enchéri sur un NFT mais auraient perdu leur enchère. L’argent virtuel était gelé, intouchable – « verrouillé sur une chaîne », comme on dit.
Johnson aurait peut-être souhaité embaucher Ronghui Gu.
Gu est le cofondateur de CertiK, le plus grand auditeur de contrats intelligents dans le monde pétillant et imprévisible des crypto-monnaies et du Web3. Professeur d'informatique affable et bavard à l'Université de Columbia, Gu dirige une équipe de plus de 250 personnes qui examinent le code cryptographique pour essayer de s'assurer qu'il n'est pas rempli de bugs.
Le travail de CertiK ne vous empêchera pas de perdre votre argent lorsqu'une cryptomonnaie s'effondre. Cela n’empêchera pas non plus un échange cryptographique d’utiliser vos fonds de manière inappropriée. Mais cela pourrait aider à empêcher qu’un problème logiciel négligé ne cause des dommages irréparables. Les clients de la société comprennent certains des plus grands acteurs de la cryptographie, comme le Bored Ape Yacht Club et le Ronin Network, qui gère une blockchain utilisée dans les jeux. Les clients viennent parfois voir Gu après avoir perdu des centaines de millions, en espérant qu'il puisse s'assurer que cela ne se reproduise plus.
"C'est un monde vraiment sauvage", dit Gu en riant.
Le code cryptographique est bien plus impitoyable que les logiciels traditionnels. Les ingénieurs de la Silicon Valley essaient généralement de rendre leurs programmes aussi exempts de bugs que possible avant leur livraison, mais si un problème ou un bug est découvert ultérieurement, le code peut être mis à jour.
Ce n'est pas possible avec de nombreux projets de cryptographie. Ils fonctionnent à l'aide de contrats intelligents, un code informatique qui régit les transactions. (Disons que vous souhaitez payer 1 ETH à un artiste pour un NFT ; un contrat intelligent peut être codé pour vous envoyer automatiquement le jeton NFT une fois que l'argent arrive dans le portefeuille de l'artiste.) Le fait est qu'une fois que le code du contrat intelligent est actif sur un blockchain, vous ne pouvez pas la mettre à jour. Si vous découvrez un bug, il est trop tard : tout l'intérêt des blockchains est que vous ne pouvez pas modifier ce qui y a été écrit. Pire encore, le code hébergé sur une blockchain est visible publiquement, ce qui permet aux pirates informatiques de l'étudier à loisir et de rechercher des erreurs à exploiter.
Le nombre de hacks est vertigineux et ils sont extrêmement lucratifs. Au début de l’année dernière, le réseau Wormhole s’est fait voler plus de $320 millions de crypto. Ensuite, le réseau Ronin a perdu plus de $600 millions en crypto.
"Le hack le plus cher de l'histoire", déclare Gu, secouant la tête, presque incrédule. « On dit que le Web3 dévore le monde, mais les pirates informatiques dévorent le Web3. »
Un groupe très actif d'auditeurs a émergé ces dernières années, et le CertiK de Gu est le plus important : l'entreprise, évaluée à $2 milliards, estime avoir réalisé environ 70% de tous les audits de contrats intelligents. Il gère également un système qui surveille les contrats intelligents pour détecter en temps réel si certains sont piratés.
Pas mal pour quelqu’un qui est tombé sur le terrain de travers. Gu n'a pas commencé dans la cryptographie ; il a fait son doctorat sur les logiciels prouvables et vérifiables, explorant les moyens d'écrire du code qui se comporte de manière mathématiquement prévisible. Mais ce sujet s’est avéré tout à fait applicable au monde impitoyable des contrats intelligents ; il a cofondé CertiK avec son directeur de thèse en 2018. Gu est désormais à cheval sur les mondes universitaire et crypto. Il enseigne toujours des cours à Columbia sur les compilateurs et la vérification formelle des logiciels système, et gère plusieurs étudiants diplômés (dont l'un fait des recherches sur les compilateurs pour l'informatique quantique) - tout en se rendant aux événements de Davos et de Morgan Stanley, vêtu de sa chemise noire habituelle et veste noire alors qu'il tente de convaincre les gros bonnets de la cryptographie et de la finance de prendre au sérieux les hacks de la blockchain.
La crypto fonctionne selon des cycles d’expansion et de récession ; l’effondrement de la bourse FTX en novembre n’est qu’un coup dur récent. Gu, cependant, pense qu'il aura du travail à faire dans les années à venir. Des entreprises grand public comme les banques et, dit-il, « un moteur de recherche majeur » commencent à lancer leurs propres produits blockchain et à embaucher CertiK pour les aider à maintenir leurs navires en sécurité. Si les entreprises établies commencent à insérer davantage de code dans les blockchains, cela attirera toujours plus de pirates informatiques, y compris des acteurs étatiques. « Les menaces auxquelles nous sommes confrontés, dit-il, sont de plus en plus graves. »
French 
English 
Chinese (China) 
Chinese (Hong Kong) 
Korean 
Japanese 
German 
Spanish 
Vietnamese 
Swedish 
Arabic 
Hindi