De nos jours, le marché de la blockchain dans son ensemble en est à ses balbutiements, et le marché de la finance décentralisée (DeFi) est sa partie la plus prometteuse. Selon les données de DefiLlama, en 2021, le marché DeFi disposait d’environ 200 milliards de dollars de liquidités bloquées dans des contrats intelligents. Si l’on considère ce capital comme un investissement initial, ce marché s’annonce comme une aventure très prometteuse. Peu d’entreprises mondiales peuvent se vanter d’une telle capitalisation. Mais tout jeune marché a ses problèmes de démarrage. Avec DeFi, le principal problème est le manque de développeurs de blockchain qualifiés.
Cette industrie est très jeune et a une base d’utilisateurs relativement restreinte. La plupart des gens ont au mieux entendu parler de DeFi sans avoir aucune idée de ce que c’est. Mais comme cela se produit avec chaque nouvelle entreprise prometteuse, cela crée rapidement beaucoup d’intérêt spéculatif. Malheureusement, la préparation du personnel prend beaucoup plus de temps, en particulier lorsqu’il s’agit de domaines à forte intensité de connaissances tels que la blockchain et le développement de contrats intelligents. Cela signifie que certaines équipes de projet devront faire des compromis et embaucher du personnel moins expérimenté.
Ce problème crée inévitablement un risque croissant de failles de sécurité dans le code de ces projets. Et puis nous devons faire face à ses conséquences en termes de perte de capital utilisateur. Pour juste une brève compréhension de l’ampleur de ce problème, je peux dire qu’environ 10% de la liquidité totale verrouillée de DeFi a été volée par des pirates. Cela ne devrait surprendre personne que le grand public préfère rester à l’écart d’un système financier qui présente de tels dangers pour ses fonds.
Lié: Comment les protocoles DeFi sont-ils piratés ?
Comment les exploits DeFi ont-ils changé récemment ?
Les attaques contre DeFi ont longtemps été centrées sur les attaques de réentrance. On se souvient du fameux Le piratage DAO de 2016 qui a entraîné la perte de 150 millions de dollars en capital des investisseurs et a conduit au hard fork d’Ethereum. Depuis lors, cette vulnérabilité a été exploitée à plusieurs reprises dans différents contrats intelligents.
La fonction de rappel est activement utilisée par les protocoles de prêt : elle permet aux contrats intelligents de vérifier le solde des garanties des utilisateurs avant d’accorder un prêt. Tout ce processus se déroule en une seule transaction, ce qui a donné aux pirates une solution de contournement pour voler l’argent de ces contrats intelligents. Lorsque vous envoyez une demande d’emprunt de fonds, la fonction de rappel vérifie d’abord le solde de la garantie, puis accorde le prêt si la garantie était suffisante, puis modifie le solde de la garantie de l’utilisateur dans le contrat intelligent.
Pour tromper le contrat intelligent, les pirates renvoient l’appel à la fonction de rappel pour lancer ce processus depuis le début. Comme la transaction n’a pas été finalisée sur la blockchain, la fonction octroie un autre prêt pour le même solde de garantie. Même si la solution à ce problème existe depuis assez longtemps, de nombreux projets en sont encore victimes.
Parfois, des équipes de projet peu compétentes en rédaction de contrats intelligents décident d’emprunter la base de code d’un autre projet DeFi open source pour déployer leur propre contrat intelligent. Ils le font normalement avec des projets réputés qui ont été audités et ont de grandes bases d’utilisateurs et se sont avérés être construits en toute sécurité. Mais ils peuvent décider d’apporter des modifications mineures au code emprunté pour ajouter des fonctionnalités qu’ils souhaitent avoir dans leur contrat intelligent, sans même changer le code d’origine. Cela peut nuire à la logique du contrat intelligent, ce que les développeurs ne réalisent souvent pas.
C’est ce qui a permis aux pirates de voler environ 19 millions de dollars à Cream Finance en août 2021. L’équipe de Cream Finance a emprunté le code d’un protocole DeFi différent et a ajouté un jeton de rappel dans leur contrat intelligent. Même si vous pouvez prévenir les attaques de réentrance en mettant en œuvre le schéma « vérifications, effets, interactions » qui donne la priorité au changement de solde par rapport à l’émission de fonds, certaines équipes ne parviennent toujours pas à protéger leurs plateformes de ces exploits.
Les attaques de prêt flash permettent aux pirates de voler des fonds différemment et sont de plus en plus populaires depuis le boom DeFi de 2020. L’idée principale des attaques de prêt flash est que vous n’avez pas besoin de garantie pour emprunter des fonds à un protocole car la parité financière est toujours garantie par le fait que le prêt est contracté et remboursé en une seule transaction. Et cela n’aura pas lieu si vous ne remboursez pas le prêt avec intérêt en une seule transaction. Mais les attaquants ont pu effectuer des attaques de prêt flash réussies sur de nombreux protocoles.
Lié: Nécessaire : un projet éducatif massif pour lutter contre les piratages et les escroqueries
Ce faisant, ils utilisent plusieurs protocoles pour emprunter et faire glisser des liquidités jusqu’à l’acte final où ils amplifient le prix d’un jeton via des oracles ou des pools de liquidités et l’utilisent pour escroquer un pump-and-dump et partir avec des liquidités dans un tableau de certaines principales crypto-monnaies différentes telles que Ether (ETH), Wrapped Bitcoin (wBTC) et autres. Certaines attaques de prêt flash célèbres incluent l’attaque Pancake Bunny, où le protocole a perdu 200 millions de dollars, et une autre attaque de Cream Finance, dans laquelle plus de 100 millions de dollars ont été volés.
Comment se défendre contre les exploits DeFi ?
Pour construire un protocole DeFi sécurisé, idéalement, vous ne devriez faire confiance qu’aux développeurs de blockchain expérimentés. Ils doivent avoir un chef d’équipe professionnel ayant des compétences dans la création d’applications décentralisées. Il est également sage de se rappeler d’utiliser des bibliothèques de code sûres pour le développement. Parfois, les bibliothèques les moins à jour peuvent être l’option la plus sûre que celles avec les bases de code les plus récentes.
Les tests sont une autre chose cruciale que tous les projets DeFi sérieux doivent faire. En tant que PDG d’une société d’audit de contrats intelligents, j’essaie toujours de couvrir 100 % du code de nos clients et souligne l’importance de la protection décentralisée des clés privées utilisées pour appeler les fonctions des contrats intelligents à accès restreint. Il est préférable d’utiliser la décentralisation de la clé publique via une multisignature qui empêche une entité d’avoir le contrôle total du contrat.
En fin de compte, l’éducation est l’une des clés qui permettra aux systèmes financiers basés sur la blockchain de devenir plus sûrs et fiables. Et l’éducation devrait être l’une des principales préoccupations de ceux qui recherchent un emploi dans DeFi, car elle peut offrir des récompenses alléchantes à tous ceux qui peuvent apporter une contribution viable.
Cet article ne contient pas de conseils ou de recommandations d’investissement. Chaque mouvement d’investissement et de trading comporte des risques, et les lecteurs doivent mener leurs propres recherches lorsqu’ils prennent une décision.
Les vues, pensées et opinions exprimées ici sont celles de l’auteur seul et ne reflètent pas ou ne représentent pas nécessairement les vues et opinions de Cointelegraph.
Dmitri Mishunin est le fondateur et PDG de la société de sécurité et d’analyse DeFi HashEx et possède une expertise de longue date dans le domaine de la sécurité de la blockchain. Il a consacré beaucoup de temps à des activités scientifiques, telles que la recherche sur les systèmes informatiques, la blockchain et les vulnérabilités dans DeFi. Sous la direction de Dmitry, HashEx est devenu l’un des leaders dans le domaine des audits de contrats intelligents.