Titres Titres
Les hacks dans le monde DeFi sont toujours d’actualité. Les protocoles DeFi devraient commencer à utiliser des ensembles de règles de gestion des risques et des outils déjà utilisés dans la finance traditionnelle, déclare Kate Kurbanova d’Apostro.
Une seule vulnérabilité dans les contrats intelligents peut coûter des millions aux projets DeFi en fonds d’utilisateurs. Alors que les vulnérabilités techniques et les bogues sont les premiers vecteurs d’attaque recherchés par les pirates, il ne faut pas oublier les autres moyens utilisés pour voler des fonds aux protocoles DeFi.
Vérification formelle, tests de résistance, audits et simulations – Les protocoles DeFi ont une grande liste de pratiques et d’outils parmi lesquels choisir en matière d’audit technique et de vérification approfondie du code pour les bogues et les vulnérabilités cachées.
Cependant, même tout ce qui précède ne garantit pas la sécurité du protocole car certaines vulnérabilités proviennent de failles dans la logique commerciale du produit et de la dépendance aux marchés externes et aux blocs de construction DeFi. Ce sont les soi-disant vulnérabilités économiques – elles nécessitent un audit économique supplémentaire et sont beaucoup plus difficiles à détecter en général, car l’espace est en constante évolution et toute mise à niveau du code peut conduire à de nouvelles possibilités d’exploitation.
Par conséquent, l’espace de sécurité DeFi doit passer à la vitesse supérieure et adopter de meilleures pratiques de gestion des risques pour protéger les utilisateurs et les protocoles des menaces économiques.
Les hacks continuent de se profiler
De nombreux protocoles ont subi des exploits au fil des ans, les vecteurs d’attaques les plus courants ayant été documentés et corrigés à ce jour. Néanmoins, il existe encore des moyens d’exploiter le protocole en influençant indirectement la logique du contrat ou la logique métier du protocole. Il peut s’agir d’une manipulation du marché ou d’oracle, d’une influence sur les protocoles connectés ou d’une surveillance continue d’éventuelles portes dérobées créées par des mises à niveau de code.
Les exploits de ce type peuvent utiliser plusieurs protocoles tout au long de l’exécution. En particulier, l’une des possibilités serait d’utiliser des attaques de prêt flash pour manipuler l’oracle des prix du protocole. Pour mieux comprendre, examinons un exemple précis.
L’exploit de la finance de la crème
Cela s’est produit en novembre 2021 et a entraîné une perte de 130 millions de dollars. L’attaquant a manipulé le prix du yUSD en gonflant la liquidité et en exploitant l’oracle des prix, ce qui a conduit le système à croire que 1 yUSD était égal à 2 $, et que le dépôt initial de l’attaquant de 1,5 milliard de dollars en yUSD avait un coût de 3 milliards de dollars en conséquence. Ensuite, le pirate a converti son dépôt yUSD en 3 milliards de dollars et a utilisé un bénéfice de 1 milliard de dollars pour drainer toutes les liquidités de Cream Finance (~ 130 millions de dollars).
Haricot magique
Un autre piratage récent a utilisé une vulnérabilité dans le système de gouvernance Beanstalk. Le pirate a utilisé une porte dérobée dans la gouvernance du protocole en acquérant les deux tiers de tout le pouvoir de gouvernance par le biais d’un prêt flash. Cela leur a permis d’exécuter les propositions de gouvernance qu’ils ont créées avec seulement un délai d’un jour (par opposition au délai habituel de 7 jours nécessaire pour l’examen).
Les propositions apparemment sûres se sont avérées être un contrat malveillant. Cela s’est activé au moment du prêt flash et a essentiellement vidé le protocole de 182 millions de dollars (au moment de l’exploit).
Les deux attaques ont exploité la logique commerciale du protocole en abusant de l’économie sous-jacente. Ces types d’exploits montrent à quel point il est important de disposer d’outils de gestion des risques et d’une surveillance continue, car ils peuvent facilement détecter et prévenir de telles opportunités.
Hacks : Adopter des outils de gestion des risques pour renforcer la sécurité
Pour fournir une couche de sécurité supplémentaire contre de tels types d’attaques, les protocoles DeFi devraient commencer à utiliser des ensembles de règles de gestion des risques et des outils déjà éprouvés par des années de pratique dans le monde financier traditionnel.
Par exemple, l’une des méthodes ici consisterait à implémenter un délai sur les transactions vers le protocole. Une telle fonction peut retarder les transactions suspectes vers le protocole, alerter les développeurs d’une activité malveillante et leur donner le temps d’atténuer l’impact négatif, le cas échéant. Cela peut être encore amélioré en combinant le délai avec des outils de surveillance pour retarder ou suspendre automatiquement les transactions qui représentent des menaces pour le protocole.
Une autre bonne pratique est le plafonnement des liquidités, qui limite le nombre de fonds pouvant être transférés en une seule transaction. Bien qu’il n’affecte pas les utilisateurs moyens, le plafonnement des liquidités peut retarder ou empêcher des attaques similaires à l’exploit Cream Finance en rendant plus difficile et plus coûteuse l’exécution de l’attaque par les pirates.
Le domaine de la sécurité DeFi peut grandement bénéficier de l’expertise en cybersécurité de la finance traditionnelle, car il apporterait une expertise et des spécialistes supplémentaires pour travailler à une sécurité accrue et à une infrastructure plus solide des protocoles Web3.
Hacks dans DeFi : la prochaine étape
Alors que la croissance rapide du secteur DeFi est séduisante pour les utilisateurs moyens et les investisseurs, le manque de pratiques et de solutions de sécurité reste un inconvénient majeur pour une adoption plus large et les investisseurs institutionnels.
Le grand public a besoin de plus d’assurances en ce qui concerne la sécurité de ses fonds – et les connaissances et les pratiques de la finance traditionnelle peuvent pousser la scène DeFi au prochain niveau de développement. Adoption d’outils de gestion des risques, de pratiques de sécurité opérationnelle, de plafonds de sécurité et d’une surveillance continue – le secteur DeFi peut grandement en bénéficier avec la bonne application.
A propos de l’auteur
Kate Kurbanova, une vétéran de la blockchain et négociante en bourse, est la cofondatrice et directrice de l’exploitation d’Apostro. Apostro est un protocole de gestion des risques qui protège contre les menaces de sécurité externes, qu’il s’agisse d’un bogue stupide dans un code ou d’un exploit via la manipulation d’Oracle.
Vous avez quelque chose à dire sur TradFi, les hacks DeFi ou autre chose ? Écrivez-nous ou rejoignez la discussion sur notre chaîne Telegram. Vous pouvez également nous retrouver sur Tik Tok, Facebook ou Twitter.
Avertissement
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations trouvées sur notre site Web est strictement à ses risques et périls.
