La finance décentralisée (DeFi) a parfois été critiquée comme le « far west » de l’industrie de la cryptographie. Si les 2,32 milliards de dollars volés à plusieurs protocoles jusqu’à présent cette année pouvaient être utilisés comme une description précise de l’état de DeFi aujourd’hui, alors les critiques ont le dernier mot.
Considéré comme ayant commencé avec le lancement de Bitcoin en 2009, DeFi a véritablement décollé en 2020 avec le lancement de la stratégie d’investissement dite « yield farming » de Compound Finance.
Aujourd’hui, des milliers d’applications décentralisées, ou dApps, sont utilisées. DeFiLlama rapporte que plus de 53,73 milliards de dollars de valeur totale sont bloqués dans DeFi – des chiffres si juteux qu’ils ont attiré l’attention d’acteurs indésirables – les pirates.
- 1 Pirater le système
- 2 Réseau Ronin : Perte – 620 millions de dollars
- 3 Pont Wormhole : Perte – 320 millions de dollars
- 4 Nomad Bridge : Perte – 190 millions de dollars
- 5 Beanstalk Farms : perte de 182 millions de dollars
- 6 Wintermute : perte de 160 millions de dollars
- 7 Elrond : Perte – 113 millions de dollars
- 8 Horizon Bridge : Perte – 100 millions de dollars
- 9 Qubit Finance : Perte – 80 millions de dollars
- 10 Cashio : Perte – 48 millions de dollars
- 11 Scream : Perte – 38 millions de dollars
- 12 Que sont devenus les milliards volés ?
- 13 Comment ne pas se faire pirater
Pirater le système
DeFi est une partie de la crypto-monnaie qui est globalement restée fidèle à l’éthique fondamentale de Bitcoin de décentralisation et de confidentialité, maintenant un détachement cynique de la surveillance gouvernementale. Cependant, si elles ne sont pas contrôlées, ces libertés comportent de grands risques.
Selon à la société de sécurité blockchain PeckShield, les pirates ont volé plus de 2,32 milliards de dollars dans plus de 135 exploits, de l’industrie DeFi jusqu’à présent cette année. Le chiffre est supérieur de 50 % à ce qui a été volé à l’ensemble du secteur pour l’ensemble de l’année 2021.
Au fil des ans, les voleurs en ligne ont utilisé une variété de tactiques pour mener à bien leur travail. Selon la base de données REKT, les méthodes d’attaque les plus utilisées incluent le pot de miel, l’escroquerie à la sortie, l’exploit, le contrôle d’accès et le prêt flash. Voici les dix meilleurs exploits DeFi de 2022 à ce jour, tels qu’organisés par PeckShield.
Réseau Ronin : Perte – 620 millions de dollars
Ronin Network, la chaîne latérale basée sur Ethereum pour le jeu crypto Axie Infinity, a été escroqué en mars pour plus de 620 millions de dollars en ETH et USDC. L’attaquant « a utilisé des clés privées piratées pour falsifier de faux retraits » du contrat de pont Ronin dans deux transactions.
L’exploit, qui s’est produit le 23 mars, n’a été découvert qu’une semaine plus tard lorsqu’un utilisateur n’a pas réussi à retirer 5 000 éther. Au total, le pirate s’est emparé de 173 600 ETH et 25,5 millions d’USDC, évalués à plus de 620 millions de dollars à l’époque.
Le piratage du réseau Ronin est considéré comme le plus grand piratage DeFi de l’histoire. Il reste le plus important jusqu’à présent cette année, dit PeckShield.
Pont Wormhole : Perte – 320 millions de dollars
Le 2 février, un attaquant a détourné plus de 320 millions de dollars en ETH enveloppé du protocole Wormhole, un pont cryptographique inter-chaînes populaire entre Solana, Ethereum, Avalanche et d’autres.
Les utilisateurs de trous de ver sont tenus de jalonner ethereum contre de l’ETH emballé à la menthe, un type de crypto qui est indexé sur le prix de l’ethereum.
La société d’analyse Elliptic a imputé l’exploit à l’échec de Wormhole à valider les comptes « gardiens ». permettant à l’attaquant de frapper 120 000 wETH sans éthereum. Le pirate a ensuite échangé 93 750 wETH contre Ethereum et a échangé le reste contre Solana. La valeur totale de la perte était de plus de 320 millions de dollars à l’époque.
Nomad Bridge : Perte – 190 millions de dollars
Le 2 août, les pirates ont drainé environ 190 millions de dollars en crypto-monnaie de Nomad, un outil qui permet aux utilisateurs d’échanger des jetons d’une blockchain à une autre.
L’attaque a commencé par une mise à niveau du code de Nomad. Une section du contrat intelligent était marquée comme valide chaque fois que les utilisateurs effectuaient une transaction. Cela a permis aux mauvais acteurs de retirer plus d’actifs que ceux déposés sur la plateforme. Les pirates ont répété le processus jusqu’à ce que 190 millions de dollars de crypto soient retirés du pont. Nomad ne l’a jamais su jusqu’à ce qu’il soit trop tard.
Beanstalk Farms : perte de 182 millions de dollars
En avril, un attaquant a drainé 182 millions de dollars de crypto de Beanstalk Farms, un protocole DeFi visant à équilibrer l’offre et la demande de différents actifs crypto.
PeckShield a déclaré que l’attaquant avait exploité le système de gouvernance du vote majoritaire de Beanstalk et avait voté pour s’envoyer 182 millions de dollars. L’attaquant a utilisé un prêt flash pour obtenir une participation majoritaire dans le protocole, mais son bénéfice réel n’était que de l’ordre de 80 millions de dollars, a déclaré la société.
Wintermute : perte de 160 millions de dollars
Wintermute est le dernier protocole DeFi à être victime de pirates informatiques, qui ont emporté 160 millions de dollars de la section des finances décentralisées de la plateforme. Le PDG, Evgeny Gaevoy, a déclaré que le piratage était lié à un bogue critique dans l’outil de génération d’adresses de vanité Ethereum Profanity.
Il a déclaré que Wintermute avait utilisé l’outil pour générer une adresse unique afin de réduire les coûts de transaction, jamais pour la « vanité ». Une erreur humaine semble être à l’origine de cette attaque particulière.
Elrond : Perte – 113 millions de dollars
En juin, des pirates ont exploité une faille sur l’échange décentralisé Maiar pour voler environ 1,65 million d’elrond egold (EGLD), le jeton natif de la blockchain Elrond. Les chercheurs ont déclaré que l’attaquant avait déployé un contrat intelligent et utilisé trois portefeuilles pour voler environ 113 millions de dollars d’EGLD à la bourse.
Les pirates ont immédiatement vendu 800 000 jetons pour 54 millions de dollars sur le même DEX, et le reste a été vendu sur des échanges centralisés ou échangé contre Ethereum.
Horizon Bridge : Perte – 100 millions de dollars
Quelques jours seulement après l’exploit d’Elrond, les pirates ont de nouveau frappé le 23 juin, frappant le pont Horizon pour près de 100 millions de dollars. Horizon est une plate-forme d’interopérabilité entre les chaînes de blocs Ethereum, Binance Smart Chain et Harmony.
PeckShield a révélé que plus de 98 millions de dollars de divers jetons avaient été drainés de la plate-forme gérée par Harmony et échangés contre de l’éther. Plus de 50 000 portefeuilles d’utilisateurs ont été touchés. Les pirates ont ensuite transféré 35 millions de dollars via Tornado Cash.
Qubit Finance : Perte – 80 millions de dollars
Le protocole DeFi a dit le 28 janvier qu’il avait été exploité par un attaquant qui a volé 206 809 pièces de monnaie binance (BNB) de son protocole QBridge. Au total, les jetons étaient évalués à 80 millions de dollars.
Selon la société de sécurité Certik, l’attaquant a exploité une option de dépôt dans le contrat QBridge pour frapper 77 162 qXETH – une sorte de crypto utilisée pour représenter l’ethereum ponté via Qubit. L’attaquant a trompé la plate-forme en lui faisant croire qu’il avait effectué un dépôt. Après avoir répété le processus suffisamment de fois, ils ont échangé les actifs en BNB et ont disparu.
Cashio : Perte – 48 millions de dollars
Cashio, un protocole de pièces stables sur Solana, a subi ce que l’équipe a appelé un exploit de « pépin de menthe infini » en mars. Les pirates siphonné 48 millions de dollars du protocole, provoquant un effondrement du stablecoin CASH de Cashio.
Cashio permet aux utilisateurs de frapper le stablecoin CASH avec tous les dépôts soutenus par des jetons de fournisseur de liquidité portant intérêt. L’attaquant a frappé des milliards de CASH et les a échangés contre USDC et UST, lui-même effondré, avant de se retirer via le DEX Saber.
Le CASH indexé sur le dollar s’est écrasé à 0 $ après le piratage. Attaquant revenu de l’argent sur des comptes qui détenaient moins de 100 000 $ et a promis de donner le reste à une œuvre de bienfaisance. C’est la dernière fois que nous en avons entendu parler, le butin Cashio. L’ARGENT est mort.
Scream : Perte – 38 millions de dollars
Plateforme de prêt basée sur Fantom Scream souffert peut-être l’un des exploits les plus négligents de DeFi cette année, du point de vue de la sécurité du protocole. Scream a contracté une dette de 38 millions de dollars après que les pièces stables, Fantom USD (fUSD) et DEI, dont la valeur avait été fixée à 1 $, ont perdu leur ancrage.
Étant donné que le protocole avait codé en dur la valeur des deux pièces stables, une baisse de la valeur des actifs ne s’est pas manifestée sur Scream. Les baleines ont utilisé cette échappatoire pour vider le protocole de tout autre stablecoin de valeur tout en déposant les fUSD et DEI désindexés.
Un total de 38 millions de dollars dans les stablecoins FRAX, USDT, USDC et MIM ont été retirés du réseau. Après l’incident, Scream a abandonné les prix inconditionnels et est passé aux oracles Chainlink pour des données de prix en temps réel. Les baleines gardaient leur butin. Bonne journée de paie pour degens !.
Que sont devenus les milliards volés ?
Eh bien, c’était perdu. Une grande partie en permanence.
PeckShield a déclaré qu’environ 50%, soit 1,16 milliard de dollars, de l’argent volé des protocoles ci-dessus ont été lavés via Tornado Cash, le mélangeur de crypto-monnaie basé sur Ethereum sanctionné par le gouvernement américain en août, provoquant une forte réaction de la communauté crypto.
Tornado Cash permet aux utilisateurs de crypto d’obscurcir l’historique de leurs transactions financières, ce qui le rend plus difficile à retracer. Selon l’agence de sécurité américaine FBI, le mélangeur a été exploité par des personnes comme le groupe de hackers lié à la Corée du Nord Lazarus pour blanchir plus de 7 milliards de dollars de crypto depuis 2019.
Alors que les hackers disparaissaient avec des milliards, les protocoles DeFi concernés ont fait une série de tentatives pour récupérer leur argent, sans grand succès. Une façon de le faire est de simplement implorer l’attaquant de rendre le butin mal acquis en échange d’une sorte d’incitation. Ou pas du tout.
Qubit Finance a essayé cela et a offert une prime de 2 millions de dollars, le maximum qu’elle pouvait offrir pour un tel plaidoyer de piratage blanc. Cela n’a pas fonctionné. Harmony a aussi joué avec la même idée. Il offrait une Prime de 1 million de dollars pour le retour des 100 millions de dollars volés au pont Horizon et a promis de ne pas porter plainte au pénal. Les pirates ont ignoré l’appel. Rien n’a été récupéré.
Cependant, une stratégie similaire a fonctionné pour le réseau Poly en août 2021, l’attaquant restituant la plupart des 600 millions de dollars qu’il avait volés.
Cette chance s’étend à Ronin. Plus tôt ce mois-ci, le réseau a récupéré 30 millions de dollars de l’argent perdu, avec l’aide de la société de sécurité cryptographique Chainalysis, du Trésor américain et du FBI. Mais cela ne représente que 5 % des 620 millions de dollars volés lors du piratage. Le FBI estime qu’environ 455 millions de dollars ont été lavés via Tornado Cash par le groupe Lazarus, l’agresseur présumé.
Les pirates du pont Nomad ont également renvoyé 9 millions de dollars à la plate-forme un jour après l’exploitation du pont inter-chaînes pour 190,4 millions de dollars. Après une prime de 10 % sur tous les fonds restitués, les pirates blancs ont piraté 32 millions de dollars supplémentaires sur le total pillé et les ont renvoyés au pont inter-chaînes. Le reste, en grande partie, a été mélangé entre différentes adresses par le pirate informatique, alors qu’ils tentaient désespérément de conserver leur richesse volée. Ils l’ont fait.
Wormhole n’a jamais récupéré ses 320 millions de dollars. Il fallait le sauver. Jump Trading Group, qui a une participation dans le protocole, est intervenu pour remplacer les 120 000 ETH volés, après que la vulnérabilité ait été corrigée.
Comment ne pas se faire pirater
De toute évidence, les ponts blockchain semblent être le maillon le plus faible de DeFi. Il existe des moyens pour les individus et des protocoles de rester en sécurité.
« Il est nécessaire de rédiger des termes de référence clairs lors du développement de projets, de couvrir autant que possible la fonctionnalité des projets avec des tests pour éviter les erreurs logiques », a déclaré Alex Belets, fondateur de la société de sécurité blockchain Smart State.[In]Crypto.
« Utilisez des scanners de vulnérabilité automatiques, n’essayez pas d’implémenter des choses pour lesquelles il existe des bibliothèques Effectuez des audits et protégez vos clés privées. N’utilisez pas d’applications tierces comme Profanity pour générer des clés privées (la raison du piratage de Wintermute) », a-t-il ajouté.
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations trouvées sur notre site Web est strictement à ses risques et périls.
Source https://beincrypto.com/top-ten-defi-hacks-2022-hackers-daring/