Titres Titres
- Des groupes de piratage nord-coréens ont ciblé les plates-formes DeFi ces dernières années, volant près d’un milliard de dollars
- Cet argent va directement au programme d’armement de la Corée du Nord
- Avec des missiles désormais capables d’atteindre New York, les développeurs de protocoles doivent voir beaucoup plus grand en termes de sécurité
Le lien entre les groupes de piratage nord-coréens tels que Lazarus et les hacks de crypto-monnaie de plusieurs millions de dollars est connu depuis plus de cinq ans, un lien qui a directement conduit l’État voyou à pouvoir construire et tester des missiles balistiques intercontinentaux. Alors que les accusations selon lesquelles les crypto-monnaies ne sont utilisées que par des criminels sont désormais ridiculement dépassées, l’argument selon lequel des pratiques de sécurité bâclées permettent aux pirates informatiques parrainés par l’État de cibler directement les protocoles DeFi afin de financer les ambitions bellicistes d’un fou narcissique est vrai.
Comme l’a montré le piratage Ronin de mars, il est temps que les développeurs et les chefs de projet DeFi commencent à assumer une certaine responsabilité pour le code et les projets qu’ils créent et améliorent massivement leur sécurité, sinon le coût sera bien plus que la liberté et la confidentialité de l’espace DeFi .
Les hackers nord-coréens se livrent à des fruits à portée de main
La Corée du Nord pirate des entités de crypto-monnaie depuis plus de cinq ans, à commencer par les échanges en 2016. Beaucoup de ces échanges avaient une sécurité médiocre, s’attendant peu à ce que Lazarus vienne frapper à leur porte (ou plutôt, s’introduisant par effraction dans le garage), mais la montée en flèche de la popularité de l’espace cryptographique en 2016-17 les a amenés à gérer des milliards de dollars de fonds d’utilisateurs.
Le manque de sécurité les a amenés à se faire pirater à gauche et à droite, Lazare étant l’un des principaux groupes impliqués dans de telles activités, ce qui a entraîné l’afflux de fonds en Corée du Nord. Au fur et à mesure que l’espace s’est développé, les échanges ont en général augmenté leurs pratiques de sécurité au fil des ans, tandis que certains plus petits ont cessé leurs activités.
En conséquence, les échanges centralisés ne sont pas aussi faciles à infiltrer pour les pirates. Heureusement pour eux, le mouvement DeFi leur a présenté un autre troupeau d’agneaux sacrificiels sur lesquels ils peuvent s’attaquer, avec pour résultat que des centaines de millions de dollars ont été volés aux protocoles DeFi et acheminés vers la Corée du Nord, finançant directement un programme de missiles qui maintenant menace même New York.
Ronin Hack Fallout encapsule la mentalité des petits temps
Comme pour les échanges non réglementés, les protocoles DeFi n’ont pas de normes de sécurité établies, avec un groupe de camarades de collège capables de se réunir, de collecter des fonds, d’embaucher des développeurs et de créer un produit DeFi, sans se préoccuper de la sécurité. En quelques mois, ils peuvent avoir des centaines de millions de dollars liés à leur projet, ce qui suscite l’intérêt de l’un des groupes de piratage d’élite du monde, et bientôt la Corée du Nord dispose d’un nouveau missile balistique intercontinental.
Ceux qui prennent la sécurité au sérieux, ce qui, pour être juste, sont nombreux, sont encore loin de ce qu’ils pourraient faire pour protéger leurs fonds, même si les enjeux sont ridiculement élevés. Prenons le cas du piratage de Ronin, qui a vu Lazarus voler 540 millions de dollars au pont. Un mois après la brèche, qui n’a pas été repérée depuis six jours, les propriétaires de Ronin, Sky Mavis, ont apporté une série d’améliorations de la sécurité. Celles-ci comprenaient une augmentation du nombre de validateurs de blockchain de 9 à (éventuellement) 100, le passage au peigne fin de tous les domaines de sa sécurité et sa mise à niveau si nécessaire, la formation du personnel sur la manière d’éviter de telles attaques et de multiples autres mesures, toutes dans le but de créer « l’étalon-or en matière de sécurité ».
C’est louable, mais cette question est pourquoi ne le faisaient-ils pas avant ? Si 9 validateurs sont maintenant considérés comme non substantiels, et comparés à 100, c’est certainement le cas, alors pourquoi 100 n’était-il pas l’objectif initial ? Pourquoi ces autres mesures n’ont-elles pas été envisagées avant la brèche, sachant que des gens comme Lazarus recherchent des projets comme celui-ci pour tenter de s’introduire. Pourquoi le personnel ne suit-il pas des cours de recyclage mensuels sur la sécurité, avec des mises à jour sur ce qu’il faut surveiller ? Cela montre un grave manque de planification du pire des cas de la part de l’équipe Ronin, et l’équipe va devoir vivre avec la connaissance que leur réflexion à petite échelle a conduit à environ un demi-milliard de dollars pour créer des missiles encore plus dévastateurs que la Corée du Nord. peut potentiellement utiliser contre le monde un jour.
La décentralisation laisse la sécurité entre les mains des individus
Bien sûr, le problème n’est pas le seul de Ronin, mais c’est l’exemple le plus flagrant, et c’est une garantie qu’il existe des protocoles DeFi qui, comme Sky Mavis, ne savent tout simplement pas que leur sécurité est insubstantielle. Il n’y a pas de manuel vers lequel se tourner, pas de sécurité DeFi pour les nuls – chaque ensemble de créateurs et de développeurs de produits a juste une idée de ce qui sera la meilleure pratique.
Malheureusement, cela a un impact direct sur la sécurité potentielle de millions de personnes entre Pyongyang et New York. Le développement de missiles en Corée du Nord est directement financé par des fonds collectés par des hacks de crypto-monnaie, et il ne semble toujours pas que les créateurs et les développeurs le prennent suffisamment au sérieux. Des entreprises comme Certik peuvent effectuer des audits de contrats intelligents pour s’assurer que le code est à jour, mais les protocoles certifiés Certik sont de toute façon piratés.
Si nous ne pouvons pas avoir un organisme officiel qui supervise tous les protocoles DeFi (ce qui, évidemment, nous ne pouvons pas), alors il devrait au moins y avoir un manuel pour les créateurs et développeurs de protocoles Defi à suivre pour s’assurer que leurs protocoles sont protégés dans le moyen le plus fort possible contre les pirates. Et si ce n’est pas possible, alors ceux qui occupent des postes de pouvoir dans ces projets doivent faire preuve de créativité lorsqu’il s’agit de questions de sécurité. Ils devraient utiliser le piratage Ronin comme baromètre pour leurs propres mesures : Sky Mavis pensait que 9 validateurs suffiraient à tenir les pirates à distance, et maintenant, après le piratage, ils visent 100. Ce fait devrait avoir chaque protocole DeFi créateur assis et prenant note, puis agissant.
La liberté de DeFi est en jeu
Cette question devient si importante qu’elle mérite d’être répétée. La Corée du Nord finance des groupes de piratage d’élite qui s’attaquent aux protocoles DeFi comme des pommes sur un arbre en automne, volent des centaines de millions de dollars et les utilisent pour fabriquer des armes de destruction massive. L’espace de crypto-monnaie ne peut tout simplement pas permettre à des événements de l’ampleur du piratage de Ronin de se poursuivre, ou il y aura une répression de l’espace crypto et DeFi comme nous ne pouvons même pas encore l’imaginer.
Nous ne pouvons pas nous plaindre que des gens comme le Parlement européen veuillent anonymiser tous les portefeuilles de crypto-monnaie si les développeurs de protocoles fabriquent des produits qui financent involontairement le terrorisme.
Nous n’aurons qu’une seule chance de nous assurer que les espaces crypto et DeFi conservent les niveaux de confidentialité que nous exigeons, mais cela se fait au prix d’une sécurité beaucoup plus stricte. Les opérateurs de protocole doivent se réveiller à ce qui s’est passé avec des gens comme Lazare et multiplier par dix leurs efforts ou risquer la vie de millions de personnes, et faire en sorte que l’espace soit régulé dans l’inexistence.
