Select preferred language:

hackers-love-defi

DeFi

Pourquoi les hackers aiment-ils la DeFi si la Blockchain est si sécurisée?

Apr 07, 2022 Andrew Zola temps de lecture 5 min

La finance décentralisée (DeFi) représente plus de 75% de tous les piratages dans la crypto, totalisant des pertes de l’ordre de 361 millions de dollars. 54 % des principales fraudes dans la crypto touchent à la DeFi, contre seulement 3% en 2020.

La blockchain rend la DeFi possible. Dans les faits, la blockchain est censée être sécurisée, alors comment cela peut-il arriver? Pourquoi les pirates sont-ils capables de s’introduire dans autant de plateformes et d’applications DeFi différentes?

Mais d’abord, qu’est-ce que la blockchain?

La blockchain est un registre partagé distribué qui stocke différents types de données. Par exemple, la blockchain peut être utilisée pour enregistrer la propriété des jetons non fongibles (NFT) et, bien sûr, des transactions de crypto-monnaies. 

Bien que les bases de données conventionnelles puissent facilement stocker les mêmes informations, ce qui rend la blockchain unique, c’est l’absence d’autorité centralisée. Elle n’est jamais maintenue au même endroit par un administrateur centralisé, comme dans le cas d’une feuille de calcul Excel où une personne peut apporter des modifications sans surveillance. 

Au lieu de cela, plusieurs copies identiques de la base de données blockchain existent sur plusieurs ordinateurs ou nœuds du réseau. Ajouter un autre « bloc » à la « chaîne » et enregistrer la transaction sous-jacente dans un registre distribué nécessite un consensus.

La plupart des nœuds doivent vérifier et valider la légitimité des nouvelles données avant qu’un nouveau bloc de données ne soit ajouté au grand livre. En tant que tel, théoriquement, il est presque impossible pour quiconque de faire une transaction frauduleuse. En effet, les pirates doivent pirater chaque nœud et modifier chaque copie du registre pour éviter d’être détectés.

Bien que ce ne soit pas nécessairement impossible à faire, c’est sans aucun doute un défi de taille. De plus, lorsque vous ajoutez à cela une couche de Proof-of-Stake (PoS ou preuve d’enjeu en français) ou Proof-of-Work (PoW ou preuve de travail en français), il devient extrêmement difficile de tromper le système.

PoS (populaire chez Algorand, EOS et Tezos) utilise des mineurs sélectionnés au hasard pour valider les transactions. D’autre part, PoW utilise une méthode de validation compétitive pour confirmer les transactions. Une fois qu’une transaction est confirmée, un nouveau bloc est ajouté à la blockchain.

En conséquence, une blockchain publique décentralisée peut être hautement sécurisée car tout le monde sur le réseau doit vérifier que la transaction a été exécutée de manière légitime. Alors, pourquoi les principaux vols de crypto font-ils toujours la une des journaux? La réponse à cette question se trouve dans les cross-chain bridges (ponts inter-chaînes). 

Que sont les ponts inter-chaînes?

Un pont inter-chaînes relie deux blockchains différentes et permet aux utilisateurs d’envoyer, de recevoir ou d’échanger, par exemple, de la crypto, d’une blockchain à une autre sans intermédiaire ni autorité centrale. Bien que cela puisse sembler simple, ce n’est vraiment pas le cas. Un pont inter-chaînes ne peut pas vraiment être comparé à une conversion du dollar américain en euro (ce qui est simple). C’est plus comme essayer de convertir vos miles aériens en euros dans votre compte en banque.

Les ponts Blockchain existent pour offrir aux utilisateurs des options pour contrer les frais de transaction élevés, effectuer des transactions à grande vitesse, améliorer la confidentialité, optimiser l’utilité et améliorer les expériences des utilisateurs grâce à l’interopérabilité. 

Ils offrent également aux utilisateurs la liberté de choix et encouragent une concurrence loyale. Si un réseau est plus rapide ou moins cher qu’un autre, il est possible de simplement changer et déplacer des actifs numériques à moindre coût. En tant que telles, les chaînes croisées constituent la base de plates-formes comme PancakeSwap, où les utilisateurs peuvent rapidement « changer » des crypto-monnaies comme Ethereum (ETH) pour Binance (BNB). 

Cependant, les ponts inter-chaînes (et les ponts latéraux) peuvent parfois bouleverser tout le concept de la DeFi. La plupart des ponts inter-chaînes dépendent de divers validateurs externes (pensez wrapped tokens ou aux garants « tierce partie », qui ne sont pas forcément décentralisés) et de fédérations centralisées pour faciliter les transferts d’actifs. 

Source: local_doctor / Shutterstock

Qu’est-ce qui rend les ponts inter-chaînes vulnérables?

Les points inter-chaînes présentent un risque de sécurité important, car il est désormais nécessaire de gérer efficacement les vecteurs d’attaque sur une surface de réseau plus grande. En effet, plusieurs chaînes développées par différentes entités sont désormais connectées. 

En substance, ils peuvent potentiellement permettre à un utilisateur malveillant de voler des fonds en déplaçant simplement des jetons d’une chaîne à une autre. D’autre part, les plateformes DeFi sont une cible de choix pour les attaques car les hacks offrent gains rapides, confidentialité et anonymat, et les forces de l’ordre ne sont (encore) pas à la hauteur.  

Cependant, la raison pour laquelle nous avons dû faire face à tant de failles de sécurité (comme MultiChain, Poly Network, Thorchain, et Wormhole) repose simplement sur le fait que les fondateurs ne prennent pas la sécurité au sérieux et ne travaillent pas assez sur la recherche de bugs. Par exemple, changer ETH vers BNB nécessite un Ethereum, Binance et un agent de change dans les ponts inter-chaînes. ETH et BNB peuvent être sûrs, mais cela n’a pas d’importance si le pont est vulnérable.

Lorsque des dépositaires sécurisent des millions, voire des milliards de dollars avec des pratiques de sécurité non testées et des systèmes mal conçus, la sécurisation des fonds des utilisateurs est pour le moins difficile.

L’attaque Wormhole

La récente attaque Wormhole, second plus gros piratage de l’histoire de la crypto, a entraîné des pertes de plus de 300 millions de dollars (ou 120 000 ETH). Comment et pourquoi cela s’est-il passé?

Wormhole permet aux utilisateurs de relier des actifs à travers des chaînes comme Avalanche, Binance Smart Chain, Ethereum, Polygon, Solana et Terra. Ainsi, les utilisateurs peuvent transférer des actifs entre les blockchains, et le pont permet le transfert en verrouillant la transaction et en créant une version enveloppée (pensez wETH) sur la chaîne finale. 

Solana avait des fonctions logicielles qui n’étaient pas à jour. Certains pirates ont trouvé et exploité cette négligence technique facilement évitable. Par exemple, des hackers ont pu contourner le « verify signature » (vérifier signature) en injectant un « compte sysvar » dans l’instruction. En conséquence, ils ont pu violer ce protocole inter-chaînes car il n’a pas réussi à valider tous les « comptes gardiens », permettant aux attaquants d’usurper les signatures des gardiens et de frapper jusqu’à 120000 ETH à partir de rien.

Dans ce cas, la cause première de la violation inter-chaînes était le processus de  « verify signature », car le contrat avait une fonction obsolète qui ne permettait pas de vérifier la légitimité du compte sysvar. De tels exploits rappellent que la DeFi n’en est encore qu’à ses balbutiements et que ces projets sont principalement des expérimentations.

Pouvons-nous faire confiance à la DeFi après l’attaque du pont Wormhole? Bien que nous ne puissions pas faire confiance à 100 % à quelque technologie qu’il soit, à mesure que la DeFi évolue et mûrit, il deviendra plus difficile pour les pirates de tromper un nœud ou de le mettre hors ligne. En effet, la technologie crypto ne s’améliore qu’avec chaque solution à un problème, à chaque itération.

Comment les utilisateurs de crypto peuvent-ils se protéger?

Afin d’améliorer la sécurité de la blockchain et solidifier les environnements cross-chain, les débutants et les vétérans de la crypto doivent absolument suivre les meilleures pratiques pour atténuer les risques.

À mesure que la cryptographie se généralise, la cybercriminalité devient également plus populaire. En tant que tels, les débutants et les vétérans de la cryptographie doivent suivre les meilleures pratiques à la lettre.

Faire une vérification minutieuse

Il est essentiel de s’informer, de trouver si l’équipe de développement de la blockchain a un bilan positif et transparent. Si des projets DeFi précédents ont connu des incidents de sécurité, il y a probablement des problèmes avec leurs processus de publication internes.

Trouver ces informations n’est pas chose aisée. Il est nécessaire de plonger dans le cryptoverse et de faire des recherches sur chaque individu impliqué dans le projet et sur tous les facteurs connexes qui peuvent avoir un impact sur le résultat souhaité. 

Choisir un protocole vérifié par des hackers éthiques

Assurez-vous que la plateforme travaille avec un service de piratage éthique établi pour identifier et corriger les vulnérabilités potentielles entre les chaînes. Si l’équipe ne parvient pas à traiter correctement les risques internes et les vulnérabilités potentielles, on peut s’attendre à ce que des utilisateurs malveillants se concentrent dessus.

Il est possible de trouver ces informations en suivant les annonces du protocole et en suivant les fournisseurs de services de piratage éthique établis comme Zokyo et Trail of Bit. Les hackers éthiques améliorent et sécurisent Web3 tous les jours. En engageant des pirates informatiques, la plate-forme DeFi peut également encourager le consensus et les protocoles au sein du réseau pour renforcer la sécurité.

Vérifier la valeur totale verrouillée (TVL)

Regardez combien de crypto a été verrouillée (ou la valeur globale des actifs crypto déposés et verrouillés) dans le protocole. Si la TVL (total value locked) représente des milliards de dollars et que le protocole est actif depuis longtemps, les risques de sécurité sont probablement relativement faibles. Mais comme toujours, redoublez de prudence. 

Rester informé des dernières nouvelles

Le monde de la crypto est connu pour changer très rapidement. Il est donc crucial de suivre les derniers développements, y compris les événements liés à la sécurité de la blockchain. Suivez l’évolution des actions et de l’implication des fondateurs et notamment s’ils contribuent toujours activement au projet. S’ils sont passés à autre chose, il faudra revoir votre stratégie en fonction de vos découvertes.

La sécurité de la Blockchain s’améliore chaque jour, et la DeFi est installée pour de bon !

La blockchain elle-même est hautement sécurisée, mais des vulnérabilités peuvent apparaître dans les inter-opérations entre plusieurs blockchains. Bien que les ponts inter-chaînes créent sans aucun doute de nombreux défis liés à la sécurité, ils sont essentiels à l’interopérabilité, à l’évolutivité et à l’amélioration des expériences utilisateur. 

Comme le monde de la DeFi fait encore ses premiers pas, l’écosystème dans son ensemble s’améliore à chaque incident de sécurité. Nous pouvons apprendre de chaque piratage crypto et faire évoluer l’environnement pour garantir la sécurité et la confidentialité.

Bien que des événements de sécurité se soient produits dans le passé et se produiront certainement à l’avenir, la plupart des projets DeFi peuvent garder leurs noms en dehors des gros titres en adoptant une approche proactive de la sécurité des contrats intelligents. La sécurité de la blockchain s’améliore progressivement chaque jour, consolidant la place de la DeFi en tant que force formidable dans l’industrie.

Recommandé pour vous