Déterminer qui est à blâmer pour les problèmes de sécurité persistants de DeFi

Déterminer qui est à blâmer pour les problèmes de sécurité persistants de DeFi

Stratégie trading crypto

Le secteur financier décentralisé continue de gagner en popularité sans précédent alors que la valeur totale des actifs immobilisés dans les produits DeFi a doublé pour atteindre plus de 4 milliards de dollars en juillet et approche maintenant la barre des 5 milliards de dollars.

Dans le même temps, une demande accrue de telles applications parmi les utilisateurs et les développeurs en fait une cible pour les mauvais acteurs, étant donné l’attrait de l’accès direct aux fonds. Au cours des derniers mois, des pirates ont volé plus de 27 millions de dollars à des projets DeFi, et d’autres attaques devraient se produire dans un proche avenir. Si tel est le cas, le secteur DeFi s’appuie-t-il fortement sur Ethereum pour la sécurité, et le lancement de l’ETH 2.0 apportera-t-il plus d’améliorations dans ce domaine?

Les applications DeFi sont de nouveaux échanges cryptographiques pour les pirates

Alors qu’en 2018-2019, les échanges cryptographiques étaient la cible numéro un des attaques de pirates informatiques, en 2020, c’est le marché de la finance décentralisée qui est sur le radar. Ceci est largement rendu possible par les vulnérabilités des contrats intelligents des plates-formes et des mécanismes de sécurité techniquement imparfaits. Dans le même temps, comme le montre l’histoire des hacks, les attaquants utilisent non seulement des vulnérabilités mais aussi diverses capacités légitimes de la blockchain pour mener des attaques.

C’est ainsi que des hackers ont attaqué Opyn début août, un protocole qui prétend ironiquement traiter la protection DeFi. Environ 371 000 $ ont été volés en raison d’un exploit du jeton natif du projet, par lequel une attaque à double dépense sur les options de vente Ethereum a été mise en œuvre, donnant accès aux fonds des utilisateurs.

Auparavant, une vulnérabilité dans le code du contrat intelligent a conduit à un autre piratage du projet DeFi où 25 millions de dollars ont été volés dans le protocole de prêt décentralisé Lendf.me et l’échange de crypto décentralisé Uniswap. Les deux ensembles de développeurs ont construit leurs propres modules complémentaires en plus du protocole ERC-777, rendant les contrats intelligents vulnérables aux attaques de réentrance. Lors d’une telle attaque, les pirates retirent des fonds à plusieurs reprises jusqu’à ce que leur transaction initiale soit approuvée ou rejetée.

Un autre piratage s’est produit le 28 juin, toujours à cause d’une vulnérabilité de code. Les pirates ont volé plus de 500000 $ en ETH et autres altcoins à la plate-forme Balancer via un exploit de son mécanisme de déflation de jetons qui détruit 1% du montant de la transaction à chaque transfert de fonds.

Ethereum est-il à blâmer?

De toute évidence, le talon d’Achille des projets DeFi est constitué de bogues et de vulnérabilités dans les codes des contrats intelligents, mais que faut-il ou qui est exactement responsable de cela? Est-ce que ce sont les développeurs DeFi qui ne testent pas ou n’audit pas correctement le code avant de lancer leurs applications, ou est-ce que la faute réside dans l’architecture d’Ethereum, ce qui signifie que peu dépend des plates-formes?

D’une part, comme Brian Kerr, PDG de la plate-forme de prêt DeFi Kava Labs, l’a précédemment déclaré à Crypto, l’architecture de la blockchain Ethereum n’est pas capable de répondre aux exigences de sécurité du secteur DeFi car tester les bogues possibles est presque impossible dans le langage de programmation Solidity.

Cependant, la plupart des plates-formes DeFi sont construites sur le cadre de la blockchain Ethereum et, par conséquent, expérimentent le code source d’origine, en particulier si le résultat de ces expériences n’est pas complètement audité avant le lancement de la version finale du produit, ouvrant potentiellement des portes aux pirates.

Shayan Eskandari, ingénieur en sécurité et auditeur chez ConsenSys Diligence, a déclaré à Crypto que la plupart des hacks DeFi avaient été précédés par des modifications apportées par les développeurs peu de temps avant le lancement de la plate-forme. Par exemple, ERC-20 n’a pas été implémenté de manière standard, ou certaines nouvelles conceptions de jetons ont ajouté des fonctionnalités qui ont changé le comportement du jeton ERC-20, provoquant des problèmes imprévisibles. Selon Eskandari, de tels changements ont conduit à des attaques de pool Balancer et au hack Lendf.me.

Cela suggère que dans certains cas, les équipes travaillant sur des plates-formes particulières sont à blâmer. Dans une conversation avec Crypto, Arnie Hill, PDG de Plutus DeFi – un agrégateur DeFi full-stack – a noté que la plupart des développeurs DeFi ne prêtent pas suffisamment d’attention à la sécurité, car ils en sont au stade précoce du développement du produit: «Aujourd’hui, les développeurs paient plus d’attention au côté technique et à la capitalisation, en se concentrant sur la façon de construire des services de prêt sur la blockchain, plutôt que sur la sécurité des contrats intelligents.

De plus, la complexité des produits DeFi leur joue une cruelle blague, selon Larry Sukernik, investisseur de Digital Currency Group: «Vous obtenez des gens avec un gros cerveau qui doivent être mis au travail. Et quand ils sont mis au travail, le résultat est souvent un produit complexe, brillant, mais massivement inutilisable. “

Charlie Lee, le créateur de Litecoin (LTC), a précédemment affirmé que la décentralisation est à blâmer pour tout. La décentralisation était en fait la raison du piratage du protocole d’options Opyn, car l’équipe ne pouvait pas le contrôler ou le désactiver temporairement en cas d’attaque.

Cependant, la présence de hackers est un phénomène naturel, étant donné que l’industrie est jeune. Néanmoins, à mesure que le secteur DeFi évolue, ses développeurs devraient devenir extrêmement conscients des risques de sécurité croissants et travailler à les réduire, selon Hill:

«La mise à l’échelle du marché nécessite l’utilisation de mécanismes de protection plus sérieux et la coopération avec les régulateurs et les auditeurs. En fin de compte, ce n’est plus seulement un réseau de DApps, mais un marché financier de plusieurs milliards de dollars qui en est au début de son développement et, par conséquent, les hacks sont inévitables, comme ce fut le cas avec le numérique. secteur bancaire il y a quelques années.

Selon le dernier rapport publié par la société de recherche Dgen en collaboration avec un protocole open source DeFi Aave, depuis que les projets DeFi sont devenus des cibles de piratage, les développeurs ont commencé à travailler sur des bacs à sable et des cadres clairs pour la résolution des litiges. Les analystes ont également noté que tant que la mise à l’échelle est de la plus haute priorité pour les développeurs DeFi à l’heure actuelle, des hacks majeurs similaires à l’incident DAO de 2016 se reproduiront probablement.

Un autre problème possible derrière les projets de financement décentralisés est qu’ils s’appuient sur des oracles de données pour fournir des données critiques telles que les prix des actifs. La croissance accélérée des plates-formes et des produits DeFi avec leur composabilité unique crée des interdépendances et nécessite une source solide de données sur les prix des actifs, comme l’explique Paul Claudius, co-fondateur de DIA – une plate-forme oracle DeFi open source suisse – qui a déclaré à Crypto:

«Actuellement, la plupart des projets DeFi ne disposent pas d’une solution de données de tarification transparente, open source et fiable. Beaucoup ne partagent même pas les méthodologies utilisées par les oracles pour les données de tarification. Cela crée des risques substantiels car les mauvais acteurs peuvent exploiter les vulnérabilités technologiques et méthodologiques avec des sources de données peu fiables. »

Audit, due diligence et assurance

Alors, y a-t-il quelque chose que les équipes DeFi peuvent faire pour atténuer les risques de sécurité, étant donné qu’il existe de nombreux produits qui maintiennent avec succès un niveau de sécurité élevé pour leurs propres fonds et ceux des utilisateurs?

Marc Zeller, responsable de l’intégration chez Aave, a souligné l’importance de mener des procédures de diligence raisonnable avant d’ajouter un nouveau jeton à une plate-forme DeFi pour éviter les hacks majeurs dans les protocoles. Il a également noté que les projets traitant du financement décentralisé peuvent utiliser les services des compagnies d’assurance pour mieux protéger les fonds des utilisateurs, bien que cela ne soit pas toujours suffisant.

S’exprimant sur le rôle de l’assurance dans la lutte contre les hacks, Kain Warwick, fondateur de la plateforme d’actifs synthétiques Synthetix, a déclaré que l’assurance DeFi est très limitée, ajoutant: «DeFi présente toujours un risque extrême, donc l’assurance restera probablement très coûteuse à court terme. , mais à mesure que les protocoles mûrissent, les coûts devraient baisser […] permettant l’émergence d’une assurance plus simple et plus utile. »

Il est bon d’avoir une assurance si l’attaque a déjà eu lieu, mais si la tâche est de l’empêcher, l’audit et le suivi des transactions suspectes sont ce dont les projets DeFi ont besoin pour détecter et corriger les vulnérabilités du réseau avant que les failles de code ne soient exploitées par des pirates. Les analystes soulignent que les échanges cryptographiques jouent un rôle important dans le suivi et le verrouillage des crypto-monnaies qui peuvent provenir de plates-formes piratées.

En relation: Le hack DeFi: que devrait et ne devrait pas être la finance décentralisée?

Au fur et à mesure que l’industrie évolue, il devient de plus en plus important pour les développeurs DeFi de coopérer avec les régulateurs et de travailler à la fois sur des bacs à sable et des cadres clairs qui permettent la résolution des litiges et l’arbitrage en cas de piratage. Selon Hill:

«La mise à l’échelle du marché nécessite l’utilisation de mécanismes de protection plus sérieux et la coopération avec les régulateurs et les auditeurs. En fin de compte, il ne s’agit plus seulement d’un réseau de DApp, mais d’un marché financier de plusieurs milliards de dollars qui en est au tout début de son développement. »

L’ETH 2.0 apportera-t-il plus de sécurité?

Certains pensent qu’en plus de l’évolutivité, les mises à niveau du réseau apporteront la sécurité à DeFi, tandis que d’autres disent que la transition 2.0 d’Ethereum vers l’algorithme de preuve d’enjeu mettra le secteur DeFi encore plus en danger. Sur la base des recherches de l’analyste Tarun Chitra, l’investisseur de Dragonfly Capital Haseeb Qureshi est parvenu à la conclusion que les protocoles DeFi vont à l’encontre du mécanisme de sécurité du réseau basé sur l’algorithme PoS. Le problème est que les fonds bloqués dans les prêts DeFi ne participent pas au jalonnement et constituent donc une sécurité.

Les analystes de MolochDao ont confirmé que le passage à l’ETH 2.0 pourrait ouvrir de nouveaux vecteurs d’attaque pour les applications DeFi. Cependant, il y a un côté positif: les attaques sur ETH 2.0 sont plus faciles à mettre à l’échelle que les attaques sur ETH 1.0.

Connexes: bon usage: Ethereum accumule des nombres sérieux pour définir des repères

Avant le déploiement, l’industrie DeFi sera confrontée à de nombreuses nouvelles attaques, selon les analystes de Consensys Tanner Hoban et Tom Borgers, en particulier pendant les premières phases de la transition vers Ethereum 2.0. La raison en est qu’au début de la transition, les validateurs doivent bloquer leur ETH jusqu’à ce que la chaîne de preuve de travail soit complètement fusionnée avec la chaîne de preuve de participation. Cela réduira la liquidité et, selon les auteurs de l’étude, peut conduire à une centralisation.

Il est donc probable que les produits DeFi seront à nouveau confrontés à des hacks majeurs, mais avec le développement d’outils d’assurance et d’audit, ainsi que l’entrée sur le marché par les régulateurs mondiaux, ils deviendront à terme plus sûrs. Ethereum 2.0 peut ajouter sa propre mouche dans la pommade, mais avec un déploiement lent et progressif du nouveau modèle et des tests suffisants, les risques seront probablement minimisés.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *