Compound Finance n’est que l’une des dernières victimes des incidents de piratage DeFi en 2021. Le 30 septembre, son bogue de distribution de jetons errant dans la proposition 062 a révélé une faille dans laquelle 70 à 85 millions de dollars de jetons COMP en excès ont été distribués à tort aux utilisateurs.
Pourtant, 65 millions de dollars supplémentaires ont été placés dans un coffre-fort vulnérable quelques jours plus tard, entraînant un risque d’au moins 150 millions de dollars en jetons COMP. Mais, alors que Compound a pu remédier à l’ensemble de la situation, il montre à quel point le secteur de la finance décentralisée (DeFi) peut parfois être vulnérable en raison de son émergence.
L’année dernière, la valeur totale verrouillée (TVL) dans DeFi n’était que de 5% de ce qu’elle est actuelle valeur — 255 milliards de dollars. Le changement marque une croissance explosive de 1686%. Même avec la débâcle des composés, et plus récemment avec le commerce décentralisé Plate-forme BXH a drainé 139 millions de dollars d’une attaque en raison d’une fuite de clé d’administration, TVL a en fait augmenté au cours du mois dernier, s’appréciant de 14,27%.
L’une des raisons pour lesquelles les investisseurs ont afflué vers les protocoles DeFi est de rechercher des rendements plus élevés. Les taux d’intérêt les plus bas de 2020 n’avaient pas de cadre clair pour une augmentation, ce qui a poussé les investisseurs à rechercher d’autres moyens de garer leur argent. Verrouiller les actifs cryptographiques aux protocoles DeFi et fournir des liquidités pour de tels services est devenu une option attrayante, car elle offre des rendements plus attrayants. Il s’en est suivi un boom de l’agriculture de rendement en 2020 qui a prévalu jusqu’à cette année.
Compter les incidents
La popularité croissante de DeFi est une arme à double tranchant pour le jeune secteur et l’ensemble de l’espace crypto-monnaie dans son ensemble. Depuis 2012, 534 incidents de piratage blockchain ont eu lieu avec 169 événements à venir en 2021 seulement, selon la société chinoise de cybersécurité Slow Mist. Les hacks gagnent en sophistication et ciblent diverses zones de l’espace.
Néanmoins, le plus grand piratage jamais réalisé s’est produit en 2021 et a été réalisé par un pirate informatique inconnu sur le protocole inter-chaînes Poly Network. Le résultat a été l’équivalent de 610 millions de dollars en jetons volés, dépassant MtGox et Coincheck. L’attaque a empoché environ 273 millions de dollars du réseau Ethereum, 85 millions de dollars en USD Coin (USDC) du réseau Polygon et 253 millions de dollars de Binance Smart Chain. Il a également supprimé des quantités importantes de renBTC, enveloppé de Bitcoin (wBTC) et enveloppé d’Ether (wETH).
L’incident avec Poly Network est l’un des nombreux cas de piratage DeFi en 2021. Poly Network a eu la chance de récupérer tous les fonds. Cream Finance, en revanche, n’a pas eu cette chance. Le protocole de prêt décentralisé arrive loin derrière, et l’attaque qu’il a subie – qui a eu lieu deux fois cette année – a fait disparaître près de 150 millions de dollars et s’efforce toujours de récupérer. Dans l’ensemble, le montant total d’argent perdu en raison du piratage de la blockchain cette année est de près de 7 milliards de dollars, soit une augmentation de 2,5 milliards de dollars par rapport à l’année dernière.
Appels à audit
Poly Network, Compound et Cream Finance se classent parmi les trois premiers par le nombre de fonds concernés (totalisant 906 millions de dollars). Comme Cream Finance, il existe également d’autres protocoles notables dans lesquels des exploits ont eu lieu plus d’une fois la même année, comme THORChain et Value DeFi.
En outre, bien que négligeable à 1,5 million de dollars par rapport aux fonds affectés du reste des autres victimes, Merlin Labs, un optimiseur de rendement basé sur BSC, a été attaqué trois fois – initialement deux fois la même semaine et une fois de plus un mois plus tard. De plus, ce qui est surprenant, c’est qu’il était vérifié par Hacken 11 jours avant l’attaque.
Les experts en sécurité recommandent un contrat intelligent pour subir un audit, généralement par l’intermédiaire d’auditeurs indépendants. Un audit pourrait aider à détecter et éventuellement rectifier les vulnérabilités intelligentes dans le code et vérifier la fiabilité des interactions du contrat intelligent.
Le PDG de Kava Labs, Brian Kerr, a déclaré à Cointelegraph en mai 2020 à quel point il est essentiel pour quiconque souhaite utiliser un protocole DeFi de vérifier d’abord les audits et les examens par les pairs. Mais même alors, il met en garde contre les risques techniques et de marché associés puisque le secteur, encore une fois, est encore nouveau.
Téléchargez le 34e problème de la newsletter bi-hebdomadaire de Cointelegraph Consulting dans son intégralité, avec des graphiques et des signaux de marché, ainsi que des actualités et des aperçus des événements de collecte de fonds.
Parmi les projets victimes d’attaques cette année, seuls une quinzaine de protocoles DeFi ont été audités sur les 40 concernés. Mais il convient de noter que les fonds affectés pour les protocoles audités étaient nettement inférieurs à ceux qui n’ont pas été audités. Pour chaque entreprise auditée, le montant des pertes était de près de 60 % inférieur à celui de celles qui n’avaient pas été auditées. Dans l’ensemble, 20,3 % des fonds affectés dans tous les protocoles piratés cette année provenaient de protocoles audités, tandis que 79,67 %, soit environ 1,3 milliard de dollars, provenaient de protocoles non audités.
Les quatre principales raisons pour lesquelles les protocoles DeFi sont piratés sont les erreurs de codage, l’incompétence des développeurs, l’utilisation abusive de protocoles tiers et les erreurs de logique métier. La plus courante d’entre elles et peut-être la plus dangereuse est l’incompétence des développeurs, qui est également une conséquence directe des erreurs de codage. Les développeurs insuffisamment qualifiés qui se précipitent pour lancer un projet sans un contrôle tiers rigoureux pourraient être plus susceptibles aux exploits.
C’est la raison pour laquelle il y a une pression continue pour une mesure supplémentaire dans l’amélioration des protocoles de sécurité dans l’industrie. Les audits, en particulier les audits de sécurité des contrats intelligents et les audits secondaires, ne sont que deux moyens d’y parvenir. Comme l’a dit Kerr, la diligence technique d’un investisseur est également justifiée lorsqu’il examine un protocole DeFi avant d’investir.
Pourtant, la lumière au bout du tunnel est que ces hacks pourraient être essentiels pour faire avancer le secteur DeFi. L’analyste financier en chef de CipherTrace, John Jefferies, a déclaré à Cointelegraph en août que de tels crimes déclencheraient une accélération de l’acceptation de la procédure de connaissance du client, ou KYC, en particulier avec les échanges décentralisés, orDEX, qui peuvent être essentiels pour obtenir l’approbation réglementaire.
Au fur et à mesure que DeFi mûrit, en particulier avec l’avènement des blockchains de couche un concurrentes d’Ethereum, les événements de piratage de ces derniers temps ne sont peut-être que la pointe de l’iceberg, et les protocoles mal conçus et non audités pourraient être dans un tas de problèmes.
La newsletter Market Insights de Cointelegraph partage nos connaissances sur les fondamentaux qui font bouger le marché des actifs numériques. La newsletter plonge dans les dernières données sur le sentiment des médias sociaux, les mesures en chaîne et les dérivés.
Nous passons également en revue les actualités les plus importantes du secteur, notamment les fusions et acquisitions, les changements dans le paysage réglementaire et les intégrations de blockchain d’entreprise. Inscrivez-vous maintenant pour être le premier à recevoir ces informations. Toutes les éditions précédentes de Market Insights sont également disponibles sur Cointelegraph.com.