Le FBI a publié une annonce de service public (PSA) concernant une activité cybercriminelle de plus en plus concentrée autour du paysage DeFi (finance décentralisée). Le FBI avertit les investisseurs de faire preuve de diligence raisonnable dans le choix des protocoles DeFi avec lesquels ils décident de s’engager, citant des vulnérabilités particulières de leur nature (fréquente) open source. Bien que transparent, l’open source ouvre le livre sur les éventuelles vulnérabilités de sécurité que les cybercriminels peuvent explorer. En raison de la quantité d’argent déplacée via les échanges décentralisés (DEX), qui en 2021 a déplacé environ 1 000 milliards de dollars, il y a un énorme appétit pour les exploits.
Les chiffres du FBI sont stupéfiants. Selon le service, environ 1,3 milliard de dollars ont déjà été piratés du marché de la crypto-monnaie, 97 % de cette valeur provenant du secteur DeFi entre janvier et mars de cette année. Le FBI estime que cela correspond à une augmentation de 72% par rapport à la même période l’année dernière et à une augmentation de 30% par rapport à 2020. Selon des données publiques, plus de 4 milliards de dollars ont été détournés de l’espace crypto tout au long de 2021. Le service a également pointe explicitement vers les trous de ver – des services qui relient des chaînes de blocs disparates – comme points d’attaque préférés. Récemment, un de ces services, Ronin, a été piraté pour 625 millions de dollars.
Le #FBI avertit que les cybercriminels exploitent de plus en plus les vulnérabilités des plateformes de finance décentralisée (DeFi) pour voler la crypto-monnaie des investisseurs. Si vous pensez en être victime, contactez votre bureau local du FBI ou IC3. En savoir plus : https://t.co/fboL1N17JN pic.twitter.com/VKdbpbmEU129 août 2022
Territoire de crypto-monnaies, DeFi a plusieurs niveaux de décentralisation, couvrant des services véritablement décentralisés (où aucune institution singulière n’a le contrôle des fonds ou des clés privées) à travers des versions moins centralisées de celui-ci (rappelez-vous les événements entourant le Celsius DEX). Tous fonctionnent via des contrats intelligents, des automatisations numériques qui définissent des règles pour les échanges, les achats, les transmissions de propriété et essentiellement tout ce qui se passe dans l’espace blockchain.
Cependant, en raison de la complexité de la programmation, des bogues se glissent parfois dans le code. Cela se produit aussi parfois en raison de mauvais audits et validations de code. Le FBI a donc inclus dans ses recommandations que les investisseurs s’assurent que le service DeFi qu’ils envisagent d’utiliser a fait l’objet d’audits de code indépendants. Bien que ce ne soit pas une garantie qu’ils ne peuvent pas ou ne seront pas piratés, cela augmente en théorie la barre que les pirates doivent franchir pour accéder aux fonds des utilisateurs.
Un code médiocre contient généralement des bogues que les mauvais acteurs peuvent exploiter pour siphonner les fonds des échanges. Ce siphonnage peut se produire via un transfert réel de fonds du DEX vers des portefeuilles contrôlés par des criminels, ou en créant (créant) des jetons légitimes à partir de rien. (Ces jetons ne sont pas de « vrais » jetons, comme une unité Ethereum (ETH) ou Bitcoin (BTC), mais des représentations spécifiques à l’échange de ce jeton, qui ont la même valeur que leurs homologues d’origine). Lorsque ces jetons sont créés, ils sont reconnus comme valides et valent donc exactement la même chose que les jetons légitimes, même s’ils sont en fait sans valeur.
Cela génère deux niveaux de préoccupation. Premièrement, la valeur de tous les jetons équivalents en circulation diminue (car il y en a plus en circulation). Deuxièmement, ils peuvent être échangés contre les crypto-monnaies réelles qu’ils représentent (telles que BTC ou ETH). Ces crypto-monnaies sont généralement déposées dans des bourses par des investisseurs et servent de garantie pour leurs activités DEX.
Lorsque ces fonds sont échangés et transférés dans un portefeuille criminel, le jeu est pratiquement terminé. En raison de l’irréversibilité de la blockchain, toutes les transactions sont définitives. Ces actions peuvent mettre les échanges à genoux, puisqu’ils ne possèdent plus les actifs de crypto-monnaie déposés par les investisseurs, et ne peuvent donc pas les restituer à leur demande, générant des crises de liquidité, des « bancaires », et laissant les fonds des investisseurs bloqués.
Les cybercriminels prennent un certain nombre de mesures pour cacher leurs activités, y compris les tumblers (contrats intelligents qui éliminent les pistes de crypto-monnaie en regroupant les fonds qui leur sont envoyés, masquant la provenance et la traçabilité générale de toutes les transactions de crypto-monnaie). Le service Tornado.cash en faisait partie (son codeur a depuis été arrêté). Une autre méthode, plus ingénieuse (et destructrice), consiste pour les pirates à simplement coller leur code d’exploitation dans une base de données ouverte. Ensuite, d’autres, qui n’auraient généralement pas le savoir-faire pour explorer eux-mêmes les vulnérabilités, peuvent simplement copier et coller ce code et participer au pillage. Ici, le chaos sert de couverture.
Emporter
Le FBI considère clairement l’espace de la crypto-monnaie comme une source de préoccupation, les piratages de mauvais acteurs affectant un grand nombre d’utilisateurs (c’est-à-dire les investisseurs) à chaque extraction réussie de fonds. Il incombe aux utilisateurs de faire preuve de diligence raisonnable en choisissant les échanges avec lesquels interagir et où ils déposeront leurs investissements. La recherche d’échanges qui ont une transparence adéquate, qui sont en fait décentralisées, qui ont effectué des audits de code indépendants et qui ont un historique de codage solide et de réponse aux événements est primordiale pour que les investisseurs évaluent avec précision le risque de leur investissement. Plus facile à dire qu’à faire.
Dans le même temps, la responsabilité n’incombe pas uniquement aux investisseurs. Le FBI exhorte les échanges à effectuer les mêmes étapes qu’ils demandent aux utilisateurs de connaître. Ils doivent effectuer des audits de code indépendants, gérer des analyses en temps réel sur la chaîne et créer des plans de réponse opportuns qui peuvent communiquer efficacement avec les investisseurs.
En fin de compte, les utilisateurs choisissent également avec leur portefeuille les plates-formes DeFi qui prennent de l’importance. Plus leurs décisions sont éclairées, plus leur allocation d’investissement est intelligente et plus le risque est faible.