Principales failles de sécurité DeFi dans le Web3 : comment prévenir des violations de sécurité similaires

Les protocoles de finance décentralisée (DeFi) offrent des services financiers décentralisés aux utilisateurs, leur permettant d'effectuer des transactions et de conclure des accords avec d'autres participants. Bien que les protocoles DeFi visent à fournir une plateforme sécurisée et fiable, plusieurs failles de sécurité survenues ces dernières années ont entraîné des pertes financières considérables. Cet article abordera certaines des failles de sécurité les plus importantes qui ont touché DeFi récemment.

Voici les 8 principales failles de sécurité liées aux cryptomonnaies dans la finance décentralisée DeFi sur Web3 après déduction des fonds restitués :

Ronin Chain – 600 millions de dollars

Mars 2023 a été un mois mouvementé pour le secteur des cryptomonnaies, avec le piratage du pont Axie Infinity Ronin en tête de liste, pour un montant de 612 millions de dollars.

Ronin Bridge est une chaîne latérale Ethereum utilisée dans le jeu populaire Axie Infinity, basé sur le principe du « jouer pour gagner ».

Le groupe de cybercriminels Lazarus, soupçonné d'être lié à la Corée du Nord, est parvenu à obtenir les clés privées de neuf validateurs de transactions, ce qui lui a permis d'approuver deux transactions importantes et de transférer les fonds depuis son adresse de portefeuille. Heureusement, une collaboration entre les autorités, des entreprises de sécurité et des plateformes d'échange de cryptomonnaies a permis de tracune partie de ces fonds après que les pirates les ont transférés vers Tornado cash (un service de mixage de cryptomonnaies open source) et d'autres plateformes d'échange.

Pont Wormhole – 323 millions de dollars

En février 2022, undent malheureux s'est produit lorsque des pirates informatiques ont exploité le code d'un trou de ver pour s'emparer de cryptomonnaies d'une valeur de 326 millions de dollars.

Un « wormhole » est un pont de jetons entre Solana et Ethereumqui, malheureusement, n'a pas permis d'empêcher l'attaque. Celle-ci a été rendue possible par une fonction obsolète et non sécurisée qui contournait la vérification des signatures et permettait la transmission en chaîne des délégations de signatures.

Des experts en cybersécurité estiment que les développeurs auraient pu empêcher l'attaque en appliquant des bonnes pratiques de programmation sécurisée, notamment la vérification de tous les paramètres. Cette vérification aurait permis de garantir l'authentification des adresses valides et d'empêcher ainsi des sources illégitimes d'accéder aux ressources de la blockchain.

Beanstalk – 181 millions de dollars

Lors d'un week-end fatidique d'avril 2022, un pirate informatique a lancé une attaque qui a secoué la communauté crypto. Utilisant un prêt éclair – une fonctionnalité des protocoles de finance décentralisée (DeFi) – il est parvenu à dérober 182 millions de dollars en ETH, en stablecoin BEAN et autres actifs du protocole stablecoin Beanstalk.

Les pirates ont soumis deux propositions malveillantes à la DAO Beanstalk via sa fonction de validation d'urgence, qui requiert un vote des deux tiers avant mise en œuvre après 24 heures. L'attaquant a utilisé une technique de prêt éclair pour prendre le contrôle de 79 % des jetons, ce qui lui a permis de faire adopter les deux propositions et d'exécuter son plan avec succès.

Les fonds ont été transférés conformément au protocole pour rembourser le prêt express, le solde étant versé sur une adresse liée à un fonds d'urgence basé en Ukraine. Au total, jusqu'à 76 millions de dollars ont été détournés par la personne responsable de cet acte audacieux.

Nomad – 155 millions de dollars

Le piratage déconcertant du pont Nomad a fait les gros titres lorsqu'il s'est produit le 1er août 2022. Il a choqué de nombreux passionnés de blockchain, car les attaquants ont profité d'une vulnérabilité pour dérober plus de 190 millions de dollars d'actifs basés sur Ethereumstockés dans le pont inter-chaînes multi-chaînes.

Les pirates ont agi avec une rapidité et une efficacité redoutables : des centaines de portefeuilles ont été impliqués dans 960 transactions, entraînant 1 175 retraits individuels de la valeur totale bloquée (TVL) du pont. Le tout en quelques heures.

Un aspect déconcertant de ce piratage était que tout ce que les utilisateurs avaient à faire pour pirater les fonds de pont était de copier-coller les données de l'appel de transaction original du pirate, de remplacer l'adresse originale par une adresse personnelle, et la transaction se terminait.

Le piratage a provoqué une onde de choc dans la communauté de la finance décentralisée (DeFi), prouvant que les pirates informatiques ont toujours une longueur d'avance lorsqu'il s'agit d'exploiter les failles de sécurité. Le pont Nomad illustre parfaitement l'importance des bonnes pratiques de codage et souligne pourquoi la sécurité demeure un défi permanent pour les projets blockchain.

CREAM Finance – 130,8 millions de dollars

Bien que l'attaque contre CREAM en octobre 2021 ait été l'un des plus importants vols de prêts flash, elle n'était certainement pas undentisolé. Les attaques par prêts flash consistent à utiliser un « prêt flash » de liquidités, à emprunter, puis à ne pas rembourser ce financement rapide, le tout au cours d'une seule transaction.

En exploitant des erreurs de calcul de prix, les pirates peuvent rapidement tirer profit de leurs emprunts. Par exemple, dans le cas de CREAM, deux adresses différentes ont interagi avec son yUSDVault pour créer un grand nombre de jetons crYUSD. Ils ont exploité une vulnérabilité qui a permis de doubler la valeur de ces jetons. Bien qu'ils aient réussi à obtenir 130 millions de dollars, le montant des garanties disponibles, d'environ 1 milliard de dollars, pourrait permettre d'obtenir bien plus. 

Les attaques par prêts éclair sont de plus en plus fréquentes, et la communauté devrait se poser des questions sur la manière de prévenir de nouvelles failles de sécurité à l'avenir.

Plateforme de jetons BSC – 127 millions de dollars

En octobre 2022, des pirates informatiques exploitant une vulnérabilité critique dans le code du pont inter-réseaux BSC Beacon ont dérobé des actifs cryptographiques d'une valeur totale de 570 millions de dollars.

La chaîne BSc Beacon, également connue sous le nom de Token Hub, est un pont inter-chaînes reliant la chaîne BNB Beacon (BEP2) et la chaîne BNB (BEP20/BSC).

Le pirate a falsifié des preuves cryptographiques appelées preuves de Merkle, destinées à confirmer la validité de données telles que les transactions. Il a ensuite utilisé ces fausses preuves de Merkle pour transférer des fonds du pont inter-chaînes BSC Beacon vers d'autres chaînes.

Dès que Tether a bloqué l'adresse des attaquants, une action rapide a été menée, avec le gel de plus de 7 millions de dollars transférés de la chaîne BNB , confisquant ainsi la majeure partie de leurs fonds mal acquis.

Harmony Horizon – 100 millions de dollars

En juin 2022, le projet Harmony Horizon Bridge a été compromis lorsque des pirates informatiques ont volé deux de ses cinq clés privées de validation, permettant ainsi à des fraudeurs de transférer des jetons d'une valeur de 100 millions de dollars.

Ce problème de sécurité était dû à la configuration du pont, avec un système de validation de 2 sur 5. De ce fait, deux approbations suffisaient à valider toute transaction malveillante. Afin d'effacer leurs trac, les attaquants ont utilisé Tornado Cash pour blanchir une partie de leurs gains illicites. 

Bien que ce système ait pu paraître sécurisé au départ, il s'est avéré être une cible lucrative pour les personnes mal intentionnées et une leçon coûteuse en matière de sécurité blockchain pour ceux qui ont été pris la main dans le sac.

Rari - 91 millions de dollars

Les attaques par réentrance existent depuis les débuts d' Ethereum. Elles exploitent les vulnérabilités destracpour retirer des fonds à plusieurs reprises avant même que la transaction initiale ne soit approuvée ou refusée.

En mai 2022, deux plateformes de finance décentralisée ont été compromises de cette manière, et des pirates informatiques ont dérobé 90 millions de dollars. Jack Longarzo, de Rari Capital, a déclaré que l'attaquant avait exploité une faille de sécurité de l'entreprise, et Fei Protocol, qui a fusionné avec Rari Capital, a offert une prime de 10 millions de dollars au pirate.

La société de sécurité blockchain BlockSec a expliqué que les pirates informatiques avaient exploité une vulnérabilité de réentrance. 

Les développeurs peuvent prévenir ces types d'attaques en testant et en auditant correctement lestracavant leur déploiement sur la blockchain Ethereum .

Comment se protéger des failles de sécurité dans DeFi

Les protocoles DeFi sont devenus de plus en plus populaires et complexes, ce qui en fait des ciblestracpour les pirates informatiques. Voici sept conseils pour vous protéger contre les attaques DeFi :

1. Avant d'investir dans un projet, effectuez une analyse approfondie. Vérifiez le code source, le site web, l'équipe et les réseaux sociaux de la plateforme afin de déceler tout signe suspect.
2. Assurez-vous qu'une source fiable audite lestracavec lesquels vous interagissez et que les résultats de l'audit soient accessibles au public.
3. Ne stockez pas de grosses sommes d'argent dans un seultracDeFi , car cela le rend plus vulnérable aux attaques.
4. Restez informé des dernières actualités en matière de sécurité pour découvrir les nouvelles failles de sécurité.
5. Mettez en œuvre des procédures d'authentification et d'autorisation appropriées pour tous les comptes interagissant avec les protocoles DeFi .
6. Assurez-vous que votre portefeuille est sécurisé et utilisez l'authentification à deux facteurs chaque fois que possible.
7. Surveillez régulièrement vos fonds et vos transactions sur la blockchain afin de détecter toute activité suspecte ou tout retrait non autorisé.

Suivre ces conseils peut vous aider à vous protéger contre les failles de sécurité DeFi et à garantir la sécurité de vos fonds lors de vos interactions avec les protocoles de finance décentralisée. Toutefois, il est important de se rappeler qu'aucun système n'est infaillible ; il est donc toujours préférable de redoubler de prudence avec les actifs numériques.

Conclusion

De manière générale, la sécurité est un aspect primordial lorsqu'on utilise les cryptomonnaies et les protocoles DeFi . Malheureusement, la croissance du secteur s'accompagne d'une augmentation des risques d'activités malveillantes. S'il est impossible de garantir une sécurité absolue, suivre ces conseils peut vous aider à vous protéger contre les failles de sécurité dans le domaine DeFi et à sécuriser vos fonds. 

En vous tenant informé des dernières évolutions en matière de sécurité blockchain et en veillant à ce que des procédures d'authentification appropriées soient en place pour tous les comptes, vous pouvez contribuer à garantir la sécurité de vos actifs numériques.