de finance décentralisée ( DeFi ) offrent des services financiers décentralisés aux utilisateurs, leur permettant d'effectuer des transactions et de conclure des accords avec d'autres participants. Alors que DeFi visent à fournir une plate-forme sécurisée et fiable à leurs utilisateurs, plusieurs exploits au cours des dernières années ont causé des pertes de fonds importantes. Cet article discutera de certains des DeFi qui se sont produits récemment.
Voici les 8 meilleurs exploits crypto DeFi dans Web3 après déduction des fonds retournés :
Chaîne Ronin – 600 millions de dollars
Mars 2023 a été un mois mouvementé pour l'espace de crypto-monnaie, avec le piratage du pont Axie Infinity Ronin en tête de liste à 612 millions de dollars.
Le pont Ronin est une Ethereum utilisée dans le jeu populaire de jeu pour gagner Axie Infinity.
Le groupe de cybercriminalité Lazarus, soupçonné d'avoir des liens avec la Corée du Nord, a réussi à accéder aux clés privées de neuf validateurs de transactions, leur permettant d'approuver deux transactions importantes et de transférer les fonds de leur adresse de portefeuille. Heureusement, une collaboration entre les autorités, les entreprises de sécurité et les échanges de crypto-monnaie a pu aider trac certains de ces fonds après que les pirates les aient poussés vers Tornado cash – un gobelet crypto open source – et d'autres échanges.
Pont de trou de ver – 323 millions de dollars
En février 2022, un dent malheureux s'est produit lorsque des pirates informatiques ont exploité le code d'un trou de ver pour décoller avec une crypto d'une valeur de 326 millions de dollars.
Un trou de ver est un pont symbolique entre Solana et Ethereum , qui n'a malheureusement pas réussi à empêcher l'attaque. Cela a été rendu possible par une fonction obsolète/non sécurisée qui a contourné la vérification des signatures et activé la chaîne de délégations de signatures.
Les experts en cybersécurité suggèrent que les développeurs auraient pu empêcher l'attaque s'ils avaient pratiqué des "pratiques de codage sécurisé" où ils doivent vérifier tous les paramètres. Le contrôle aurait pu assurer l'authentification des adresses valides et ainsi exclure les sources illégitimes d'accéder aux actifs de la chaîne.
Haricot magique – 181 millions de dollars
Lors d'un week-end fatidique d'avril 2022, un pirate a déclenché une attaque qui a secoué la communauté crypto. En utilisant un prêt flash – une caractéristique des protocoles de financement décentralisé ( DeFi ) – ils ont réussi à voler 182 millions de dollars en ETH, BEAN stablecoin et d'autres actifs du protocole Beanstalk stablecoin.
Les pirates ont présenté deux propositions malveillantes au Beanstalk DAO via sa fonction de validation d'urgence, qui nécessite ⅔ vote avant la mise en œuvre après 24 heures. L'attaquant a utilisé la technologie de prêt flash pour prendre le contrôle de 79 % des jetons afin de passer les deux propositions et d'exécuter son plan avec succès.
Les fonds ont été envoyés dans le cadre du protocole pour rembourser le prêt flash, le reste allant à une adresse associée à un fonds d'urgence basé en Ukraine. Au total, jusqu'à 76 millions de dollars ont été pris par l'individu responsable de cet acte courageux.
Nomade – 155 millions de dollars
Le piratage déroutant du pont Nomad a fait la une des journaux lorsqu'il s'est produit le 1er août 2022. Il a choqué de nombreux de blockchain alors que les attaquants profitaient d'une vulnérabilité pour drainer plus de 190 millions de dollars d' Ethereum stockés dans le pont croisé multi-chaînes.
Les pirates ont agi rapidement et furieusement, avec des centaines de portefeuilles engagés dans 960 transactions entraînant 1 175 retraits individuels de la valeur totale verrouillée (TVL) du pont. Le tout en quelques heures.
Un aspect déroutant de ce piratage était que tout ce que les utilisateurs devaient faire pour pirater les fonds de pont était de copier-coller les données d'appel de transaction du pirate d'origine, de remplacer l'adresse d'origine par une adresse personnelle et la transaction se terminerait.
Le piratage a envoyé des ondes de choc dans toute la communauté de la finance décentralisée ( DeFi ), prouvant que les pirates ont toujours une longueur d'avance lorsqu'ils exploitent les failles du code. Le pont Nomad fournit un exemple illustratif démontrant l'importance des pratiques de codage sécurisé et renforce pourquoi la sécurité reste un défi permanent pour les projets de blockchain aujourd'hui.
Financement CRÈME – 130,8 millions de dollars
Bien que l'attaque contre CREAM en octobre 2021 ait été l'un des plus grands vols de prêt flash, ce n'était certainement pas un dent isolé. Les attaques de prêt flash impliquent l'utilisation d'un « prêt flash » de liquidités, l'emprunt et le défaut de financement sur ce financement rapide, le tout au sein d'une seule transaction.
En exploitant les erreurs de calcul des prix, les pirates peuvent rapidement profiter de leurs emprunts. Par exemple, dans le cas de CREAM, deux adresses différentes ont interagi avec son yUSDVault pour créer un grand nombre de jetons crYUSD. Ils ont exploité une vulnérabilité qui doublerait la valeur de ces actions. Bien qu'ils aient réussi à obtenir 130 millions de dollars de fonds, les quelque 1 milliard de dollars de garanties disponibles pourraient prendre bien plus que ce montant.
Les attaques de prêts flash sont de plus en plus répandues, et la communauté devrait se poser des questions sur la manière dont elles peuvent empêcher d'autres failles de sécurité à l'avenir.
Hub de jetons BSC – 127 millions de dollars
En octobre 2022, des pirates exploitant une vulnérabilité critique dans le code de pont croisé BSC Beacon se sont débarrassés d'actifs cryptographiques totalisant 570 millions de dollars.
La chaîne BSc Beacon, également connue sous le nom de Token Hub, est un pont inter-chaînes reliant la chaîne BNB Beacon (BEP2) et la chaîne BNB (BEP20/BSC).
Le pirate informatique a falsifié des preuves cryptographiques appelées preuves Merkle destinées à confirmer la validité de données telles que des transactions. À leur tour, ils ont utilisé ces fausses preuves Merkle pour transférer des fonds du pont transversal BSC Beacon vers d'autres chaînes.
Dès que Tether a bloqué l'adresse des attaquants, une action rapide a suivi avec plus de 7 millions de dollars transférés de la chaîne BNB gelés, confisquant la plupart de leurs fonds mal acquis.
Harmonie Horizon – 100 millions de dollars
En juin 2022, le projet Harmony Horizon Bridge a été compromis lorsque des pirates ont volé deux de ses cinq clés privées de validation, permettant aux fraudeurs de transférer 100 millions de dollars de jetons.
Ce problème de sécurité était dû à la façon dont le pont avait été configuré, avec un schéma de validation 2 sur 5. En conséquence, l'attaquant n'avait besoin que de deux approbations pour qu'une transaction malveillante soit validée. Pour couvrir leurs trac , les assaillants ont utilisé Tornado Cash pour blanchir certains de leurs gains mal acquis.
Bien que cette configuration ait pu sembler sécurisée au départ, elle s'est avérée une cible lucrative pour les mauvais acteurs et une leçon coûteuse de sécurité de la blockchain pour ceux qui sont pris.
Rari - 91 millions de dollars
Les attaques de réentrance existent depuis les premiers jours d' Ethereum . Ils ont utilisé les vulnérabilités des trac pour retirer des fonds à plusieurs reprises avant que la transaction initiale ne soit approuvée ou refusée.
En mai 2022, deux plateformes financières décentralisées ont été compromises de cette manière, des pirates informatiques ayant volé 90 millions de dollars. Jack Longarzo de Rari Capital a déclaré que l'attaquant avait exploité l'entreprise, et Fei Protocol, qui a fusionné avec Rari Capital, a offert au pirate une prime de 10 millions de dollars.
La société de sécurité Blockchain BlockSec a expliqué que les pirates utilisaient une vulnérabilité de réentrance.
Les développeurs peuvent empêcher ces types d'attaques en testant et en auditant correctement les trac avant le déploiement sur la blockchain Ethereum .
Comment se protéger des exploits DeFi
Les protocoles DeFi sont devenus de plus en plus populaires et complexes, ce qui en fait des cibles trac pour les pirates. Voici sept conseils pour vous aider à vous protéger des exploits DeFi :
- Effectuez une diligence raisonnable approfondie sur tout projet avant d'investir. Vérifiez le code de la plate-forme, le site Web, les membres de l'équipe et les réseaux sociaux pour détecter les signaux d'alarme.
- Assurez-vous qu'une source fiable audite les trac avec lesquels vous interagissez et que les résultats de l'audit sont accessibles au public.
- Ne stockez pas de grandes quantités de fonds dans un seul trac DeFi , ce qui le rend plus vulnérable aux attaques.
- Restez à jour avec les dernières nouvelles de sécurité pour en savoir plus sur les nouveaux exploits.
- Mettez en œuvre des procédures d'authentification et d'autorisation appropriées pour tous les comptes qui interagissent avec les protocoles DeFi .
- Assurez-vous que votre portefeuille est sécurisé et utilisez l'authentification à deux facteurs dans la mesure du possible.
- Surveillez régulièrement vos fonds et vos transactions sur la blockchain pour détecter toute activité suspecte ou tout retrait non autorisé.
Suivre ces conseils peut vous aider à vous protéger des exploits DeFi et à garantir la sécurité de vos fonds lorsque vous interagissez avec des protocoles financiers décentralisés. Cependant, il est également important de se rappeler qu'aucun système n'est infaillible, il est donc toujours préférable de redoubler de prudence lorsqu'il s'agit d'actifs numériques.
Conclusion
Dans l'ensemble, la sécurité est l'une des considérations les plus importantes lorsqu'il s'agit de crypto-monnaies et de protocoles DeFi . Malheureusement, à mesure que l'industrie continue de croître, les risques d'activités malveillantes augmentent également. Bien qu'il soit impossible de garantir une sécurité totale, suivre ces conseils peut vous aider à vous protéger des exploits DeFi et à sécuriser vos fonds.
En vous tenant au courant des derniers développements en matière de sécurité de la blockchain et en vous assurant que des procédures d'authentification appropriées sont en place pour tous les comptes, vous pouvez contribuer à garantir la sécurité de vos actifs numériques.
