Titres Titres
  
Le marché de la finance décentralisée est l’un des segments de l’économie de la crypto-monnaie qui connaît la croissance la plus rapide, avec plus de 82 milliards de dollars de valeur enfermés dans divers contrats intelligents, contre un peu plus de 55 milliards de dollars il y a un an.
La croissance de DeFi est extraordinaire, mais pas si surprenante pour les adhérents compte tenu des nombreuses opportunités lucratives pour les investisseurs du secteur. Il existe des centaines de façons différentes de gagner de l’argent dans DeFi, par le biais de prêts et de transactions, en fournissant des liquidités à des pools d’actifs, en jalonnant pour sécuriser des réseaux, en cultivant le rendement, etc. Ces opportunités sont réelles, mais comme dans tout nouveau secteur à croissance rapide et lucratif, les risques sont tout aussi importants que les récompenses. DeFi n’a rien de nouveau à cet égard, attirant toute une série d’escrocs cherchant à saisir les fonds d’investisseurs honnêtes en utilisant un assortiment d’astuces et de techniques néfastes.
Au cas où vous vous cacheriez dans une grotte, DeFi fait référence au nombre croissant de services financiers cryptographiques basés sur la blockchain qui permettent aux utilisateurs de participer à des prêts et des emprunts, de fournir et d’obtenir une assurance, de déposer des jetons sur des comptes à rendement, d’investir dans de nouveaux projets de cryptographie et plus encore.
DeFi ressemble à bien des égards à la finance traditionnelle, la plus grande différence étant sa dépendance aux contrats intelligents par opposition à un intermédiaire tel qu’une banque. Les contrats intelligents sont le code informatique qui sous-tend les accords dans DeFi. Ce ne sont en réalité que des algorithmes auto-exécutables qui appliquent les accords contractuels entre les parties, le faisant automatiquement au fur et à mesure que les conditions convenues sont remplies.
Les contrats intelligents alimentent tout dans Defi, des protocoles de prêt aux échanges décentralisés de crypto-monnaie. Mais aussi essentiels qu’ils soient, il est important de ne pas avoir une confiance aveugle dans les contrats intelligents. En fait, beaucoup d’entre eux contiennent des bogues et des vulnérabilités que les attaquants peuvent exploiter pour vider les portefeuilles des utilisateurs.
  
Pire encore, les bogues de contrats intelligents ne sont qu’un des nombreux risques dans le monde de DeFi. Parce que l’espace est entièrement décentralisé, il incombe carrément à l’utilisateur d’être conscient de ces risques. Non seulement cela, ils doivent également savoir comment les atténuer, car il est très peu probable qu’une victime d’une arnaque puisse un jour récupérer ses jetons.
Risques liés aux contrats intelligents
L’un des principaux dangers de DeFi réside dans les contrats intelligents eux-mêmes. Les contrats intelligents sont rédigés à l’aide d’un code open source que tout le monde peut inspecter à des fins de transparence. Cependant, cela signifie que les attaquants techniquement avertis sont également libres d’inspecter le code, et s’ils rencontrent des vulnérabilités, rien ne les empêche d’en profiter pour voler des fonds à d’autres utilisateurs.
En effet, c’est exactement ce qui se passe, bien trop souvent. L’année dernière, les attaquants ont volé plus de 1,3 milliard de dollars de fonds en exploitant les vulnérabilités du code de contrat intelligent, selon un rapport de la société de sécurité blockchain CertiK.
Les contrats intelligents comportent également d’autres risques. Par exemple, si un utilisateur prend une décision bâclée et envoie des fonds à la mauvaise adresse ou utilise le mauvais réseau, ces jetons seront probablement irrécupérables. Il n’y a pas d’intermédiaire centralisé tel qu’une banque capable d’annuler la transaction et d’aider les utilisateurs à récupérer leurs fonds.
Un troisième risque inhérent aux contrats intelligents concerne leur utilisation d’oracles. Les oracles sont requis par de nombreux contrats intelligents qui ont besoin d’accéder à des données externes de tiers. Ils fournissent des informations telles que les flux de prix de diverses bourses, par exemple. Si ces oracles échouent ou sont compromis par une activité malveillante, cela crée un risque que les contrats intelligents s’exécutent d’une manière qui n’était pas prévue.
Les contrats intelligents peuvent également être abusés d’autres manières si, par exemple, les développeurs sont négligents et laissent des failles dont les attaquants sophistiqués peuvent profiter. Un exemple récent de cela s’est produit plus tôt ce mois-ci, lorsqu’un utilisateur a réalisé un bénéfice de plus de 300 ETH (820 000 $) grâce au dernier airdrop de jetons d’ApeCoin en exploitant un service de prêt flash qui permet aux utilisateurs de créer des marchés liquides pour les NFT illiquides.
Pour éliminer les risques inhérents aux contrats intelligents, de nombreux services DeFi chargent des sociétés telles que Hacken ou PeckShield d’auditer leur code, ce qui leur permet de résoudre tous les problèmes qui surviennent. Une autre façon dont les projets DeFi tentent d’atténuer le risque est d’offrir des primes aux pirates informatiques via des plateformes telles qu’Immunefi, offrant des récompenses à quiconque est capable de découvrir et de les informer des bogues dans leur code. L’idée est que les gentils découvriront tous les problèmes avant que les attaquants ne le puissent.
Les projets DeFi les plus fiables annonceront ces audits et programmes de primes sur leurs sites Web, c’est donc une bonne idée de les rechercher avant d’envisager d’investir dans un projet. Même ainsi, les utilisateurs doivent se méfier qu’aucun audit n’est infaillible et qu’un certain nombre de projets qui ont fait l’objet d’un examen minutieux au plus haut niveau ont depuis été victimes d’exploits.
La bonne nouvelle, c’est qu’il existe des entreprises solides qui cherchent à améliorer la sécurité. Nym Technologies, par exemple, vise à renforcer la confidentialité grâce à son utilisation innovante des réseaux mixtes pour masquer les données de transaction. Avec son mixnet, Nym peut masquer toutes les métadonnées de transaction de la blockchain, ce qui signifie qu’il est impossible de tracer ou de suivre les messages même en utilisant un logiciel d’analyse avancé pour essayer de le faire.
Le mixnet de Nym s’appuie sur des serveurs proxy qui mélangent les packers de métadonnées les uns avec les autres avant de les émettre dans un ordre aléatoire, aidant à masquer l’origine et la destination des transactions. L’idée est qu’en masquant vos transactions DeFi, il sera beaucoup plus difficile pour les pirates de cibler des utilisateurs individuels
Les utilisateurs de DeFi peuvent également tenter de vérifier eux-mêmes la fiabilité du code de contrat intelligent à l’aide d’outils gratuits tels que Token Sniffer sur Ethereum et PooCoin sur Binance Chain.
Complexité des protocoles DeFi
L’un des risques majeurs de la DeFi dont on parle rarement est l’incroyable complexité de certains des services proposés. L’expérience utilisateur dans DeFi est notoirement délicate, nécessitant une connaissance non seulement des protocoles, mais également de concepts tels que le jalonnement, la fourniture de liquidités, l’agriculture de rendement, etc.
Outre la multitude d’outils offerts par les protocoles DeFi populaires tels que Aave, Curve et Compound, il y a les rendements en pourcentage annuels incroyablement élevés qu’ils prétendent offrir, allant de 5 % à 50 %. Ils offrent des retours à couper le souffle, mais le danger est que de nombreux utilisateurs ne comprennent pas la complexité des protocoles qu’ils utilisent, et à quel point le danger est qu’ils pourraient voir leur dépôt entier anéanti en un clin d’œil. yeux si le marché évolue dans la mauvaise direction.
Pour contrer la complexité de DeFi, les nouveaux commerçants peuvent opter pour un service tel que HyperDEX. C’est un service qui simplifie grandement la DeFi en regroupant des produits financiers complexes sous forme de « cubes » faciles à comprendre qui définissent le niveau de risque par rapport à la récompense. Les investisseurs prudents qui ne peuvent pas se permettre de perdre apprécieront les avantages du cube à revenu fixe d’HyperDEX, qui élimine la complexité du jalonnement et garantit un rendement fixe sur une période spécifique simplement pour le dépôt de quelques jetons. HyperDex propose également des cubes qui simplifient les concepts de trading algorithmique et de spéculation d’actifs, ces produits offrant des rendements variables si les investisseurs peuvent tolérer le risque substantiel de perdre leurs actifs s’ils se trompent.
Poignées de tapis DeFi
L’ancienne «traction de tapis», dans laquelle un escroc crée un faux projet puis retire le tapis sous les pieds de ses investisseurs, est une autre arnaque courante dans DeFi.
Les pulls de tapis dans DeFi sont des escroqueries à la sortie où les prédateurs créent un nouveau jeton crypto et un pool de liquidités pour permettre à ce jeton d’être échangé. Dans le pool de liquidités, le nouveau jeton sera associé à un jeton de base tel que ETH ou à un stablecoin comme USD Coin, afin d’effectuer des transactions entre les deux sur des bourses décentralisées.
Dans le cadre de l’escroquerie, le créateur de la fausse pièce conservera une quantité importante de l’offre totale après le lancement du jeton. En supposant qu’ils aient réussi dans leurs efforts pour commercialiser le nouveau jeton, de nombreuses personnes les achèteront afin d’ajouter des liquidités au pool, motivées par la perspective de gagner des frais de transaction. Cependant, lorsque la liquidité atteint ce que l’escroc juge être un niveau souhaitable, il videra tous ses jetons dans le pool et retirera tous les ETH ou USDC ou tout autre jeton avec lequel il est associé. Cela envoie la valeur du nouveau jeton à zéro, tandis que l’escroc vend ou cache rapidement les actifs qu’il a retirés du pool.
Repérer les tirages de tapis dans DeFi n’est pas toujours facile. Une bonne indication qu’un projet pourrait être une arnaque est si seulement quelques portefeuilles contrôlent environ la moitié de l’offre en circulation. Il est possible de vérifier la distribution des jetons sur un service d’exploration de blockchain tel que Etherscan pour les jetons ERC20.
Le danger de tractions de tapis n’est pas exagéré. Une étude de novembre 2021 a révélé que près de la moitié de toutes les listes de jetons sur Uniswap, l’un des DEX les plus populaires, étaient susceptibles d’être des escroqueries.
Attaques d’hameçonnage
Les utilisateurs de DeFi doivent également rester vigilants et se méfier des soi-disant «attaques de phishing». L’hameçonnage est une technique plus ancienne qui a été portée depuis le monde de la finance traditionnelle.
Le phishing fait référence aux tentatives des pirates de voler les identifiants de connexion des portefeuilles crypto et DeFi des utilisateurs, et ils le feront en utilisant des méthodes très intelligentes. Le moyen le plus courant consiste à envoyer un e-mail ou un message contenant un lien qui semble diriger l’utilisateur vers un site Web ou un portail DeFi légitime. L’utilisateur sera invité à saisir ses identifiants de connexion au faux site. Cela est un grand non-non car les identifiants de connexion seront immédiatement envoyés aux pirates, qui peuvent même utiliser des robots malveillants pour vider instantanément le portefeuille de l’utilisateur de leurs fonds, même s’ils réalisent immédiatement leur erreur.
Le nombre d’escroqueries par hameçonnage en cours dans DeFi est irréel. Twitter est l’un des véhicules préférés des crypto-hameçonneurs, abritant des essaims de bots qui dirigeront les utilisateurs vers un formulaire Google leur demandant de partager une phrase de départ de portefeuille ou d’autres informations sensibles. D’autres se feront passer pour des célébrités célèbres et des influenceurs crypto, envoyant des messages aux utilisateurs de Twitter et semblant faire une sorte d’offre d’assistance ou de promotion, avant de leur demander de partager des informations sensibles.
Les escrocs parcourent souvent la blockchain et les réseaux sociaux à la recherche de cibles de phishing prometteuses. Malheureusement, il est trop facile pour les pirates déterminés de relier les utilisateurs de médias sociaux à leurs portefeuilles cryptographiques à l’aide de la blockchain, ce qui signifie qu’ils peuvent identifier des cibles tentantes et faire des tentatives de phishing répétées via plusieurs e-mails et messages.
Avec un peu de chance, les choses deviendront bientôt beaucoup plus difficiles pour les escrocs par hameçonnage, grâce à un certain nombre de projets prometteurs visant à anonymiser les transactions blockchain. Manta Network, par exemple, qui est un projet de confidentialité issu de l’écosystème Polkadot, a trouvé un moyen d’obscurcir les adresses de portefeuille à l’aide d’un système de couche 1 qui s’appuie sur zkSnarks. Pour les non-initiés, les zkSnarks sont une technique cryptographique qui permet à deux entités de vérifier des informations sans partager les données sous-jacentes.
En utilisant le service Manta Pay, les utilisateurs DeFi peuvent masquer l’activité de leur portefeuille et cacher leur richesse aux regards indiscrets, ce qui est le moyen le plus sûr d’éviter les attaques de phishing.
