Les hacks dans le monde DeFi sont toujours d'actualité. Les protocoles DeFi devraient commencer à utiliser des ensembles de règles de gestion des risques et des outils déjà utilisés dans la finance traditionnelle, déclare Kate Kurbanova d' Apostro .
Une seule vulnérabilité dans les contrats intelligents peut coûter aux projets DeFi des millions de fonds d'utilisateurs. Alors que les vulnérabilités techniques et les bogues sont les premiers vecteurs d'attaque recherchés par les pirates, d'autres moyens utilisés pour voler des fonds aux protocoles DeFi ne peuvent pas être oubliés.
Vérification formelle, tests de résistance, audit et simulation – Les protocoles DeFi proposent une longue liste de pratiques et d'outils parmi lesquels choisir en matière d'audit technique et de vérification approfondie du code pour détecter les bogues et les vulnérabilités cachés.
Cependant, même tout ce qui précède ne garantit pas la sécurité du protocole car certaines vulnérabilités résultent de failles dans la logique métier du produit et de la dépendance aux marchés externes et aux éléments constitutifs de DeFi. Ce sont des vulnérabilités dites économiques – elles nécessitent un audit économique supplémentaire et sont beaucoup plus difficiles à intercepter en général, car l'espace est en constante évolution, et toute mise à jour du code peut conduire à de nouvelles possibilités d'exploits.
Par conséquent, l'espace de sécurité DeFi doit aller plus loin et adopter les meilleures pratiques de gestion des risques pour protéger les utilisateurs et les protocoles des menaces économiques.
Les hacks continuent de se profiler
De nombreux protocoles ont subi des exploits au fil des ans, les vecteurs d'attaque les plus courants ayant été documentés et réparés à ce jour. Cependant, il existe encore des moyens de tirer parti du protocole en affectant indirectement la logique du contrat ou la logique métier du protocole. Il peut s'agir d'une manipulation du marché ou d'oracle, d'influencer les protocoles connectés ou de surveiller en permanence les éventuelles portes dérobées créées par les mises à jour du code.
Les exploits de ce type peuvent utiliser plusieurs protocoles lors de leur exécution. En particulier, une possibilité serait d'utiliser des attaques de prêt flash pour manipuler l'oracle des prix du protocole. Pour mieux comprendre cela, nous pouvons regarder un exemple précis.
L'exploit de la finance fictive
Cela s'est produit en novembre 2021 et a entraîné une perte de 130 millions de dollars. L'attaquant a manipulé le prix de yUSD en gonflant la liquidité et en exploitant l'oracle des prix, ce qui a conduit le système à croire que 1 yUSD était égal à 2 $ et que le dépôt initial de l'attaquant de 1,5 milliard de dollars en yUSD avait un coût correspondant de 3 milliards de dollars. Ensuite, le pirate a converti son dépôt yUSD en 3 milliards de dollars et a utilisé le bénéfice de 1 milliard de dollars pour drainer toutes les liquidités de Cream Finance (~ 130 millions de dollars).
Haricot
Un autre piratage récent a utilisé une vulnérabilité dans le système de gouvernance Beanstalk. Le pirate a utilisé une porte dérobée dans la gouvernance du protocole en acquérant les deux tiers de tout le pouvoir de gouvernance via un prêt flash. Cela leur a permis d'exécuter les propositions de gouvernance qu'ils ont créées avec un délai d'un jour (par opposition au délai habituel de 7 jours requis pour l'examen).
Les propositions apparemment sûres se sont avérées être un mauvais contrat. Cela s'est déclenché au moment du prêt flash et a essentiellement vidé le protocole de 182 millions de dollars (au moment de l'exploit).
Les deux attaques ont exploité la logique commerciale du protocole en abusant de l'économie sous-jacente. Ces types d'exploits montrent à quel point il est important de disposer d'outils de gestion des risques et d'une surveillance continue, car ils peuvent facilement saisir et prévenir de telles opportunités.
Hack : Adoption d'outils de gestion des risques pour améliorer la sécurité
Pour fournir une couche de sécurité supplémentaire contre ces types d'attaques, les protocoles DeFi devraient commencer à utiliser des ensembles de règles et des outils de gestion des risques qui ont fait leurs preuves depuis des années de pratique dans le monde financier traditionnel.
Par exemple, l'une des méthodes ici consisterait à implémenter un délai de transaction dans le protocole. Une telle fonctionnalité peut retarder les transactions de protocole suspectes, alerter les développeurs d'activités malveillantes et leur donner le temps d'atténuer tout impact négatif. Cela peut être encore amélioré en combinant le délai avec des outils de surveillance pour retarder ou suspendre automatiquement les transactions qui menacent le protocole.
Une autre bonne pratique est la limite de liquidité, qui limite le nombre de fonds pouvant être transférés en une seule transaction. Bien qu'il n'affecte pas les utilisateurs moyens, le plafond de liquidité peut retarder ou empêcher des attaques similaires à l'exploit Cream Finance, ce qui rend plus difficile et plus coûteuse pour les pirates de mener l'attaque.
Le domaine de la sécurité DeFi peut grandement bénéficier de l'expérience en cybersécurité de la finance traditionnelle car elle apporterait des compétences et des spécialistes supplémentaires pour travailler vers une plus grande sécurité et une infrastructure plus solide que les protocoles Web3.
Hack en DeFi : la prochaine étape
Alors que la croissance rapide de l'industrie DeFi est tentante à la fois pour les utilisateurs moyens et les investisseurs, le manque de pratiques et de solutions de sécurité reste un inconvénient majeur pour une adoption plus large et les investisseurs institutionnels.
Le grand public a besoin de plus d'assurance en ce qui concerne la sécurité de ses fonds, et les connaissances et pratiques financières traditionnelles peuvent pousser la scène DeFi à un niveau de développement supérieur. Adoption d'outils de gestion des risques, de pratiques de sécurité opérationnelle, de limites de sécurité et d'une surveillance continue – l'industrie DeFi peut grandement bénéficier de la bonne application.
A propos de l'auteur
Kate Kurbanova , une vétéran de la blockchain et boursière, est la co-fondatrice et COO d' Apostro . Apostro est un protocole de gestion des risques qui protège contre les menaces de sécurité externes, qu'il s'agisse d'un bug stupide dans un code ou d'un exploit via la manipulation d'oracles.
Avez-vous quelque chose à dire sur TradFi, les hacks DeFi ou autre ? Écrivez -nous ou rejoignez la discussion sur notre chaîne Telegram. Vous pouvez également nous trouver sur Tik Tok , Facebook ou Twitter .
Le post Hacks : la finance décentralisée devrait voler des idées à la finance traditionnelle est apparu pour la première fois sur BeInCrypto .