Interview : Pourquoi les pirates informatiques continuent-ils de cibler les protocoles DeFi ? Solutions

Résumé en bref

• La vague d'attaques de pirates informatiques contre les protocoles de cryptomonnaies et DeFi continue de s'intensifier.
• Plus de 7 milliards de dollars perdus suite à des attaques contre le secteur des cryptomonnaies en 2021.
• Pourquoi les pirates informatiques continuent-ils de cibler l'industrie des cryptomonnaies ?.

La vague de piratage informatique qui frappe le secteur de la finance DeFi et, par extension, l'industrie des cryptomonnaies, reste une source de préoccupation pour le secteur.

On dénombre169denten 2021, pour un préjudice de près de 7 milliards de dollars. Au cours du mois dernier, pas moins de cinq cas de piratage de cryptomonnaies ont été recensés, DeFi Cream Finance étant la dernière victime en date. Plus de 130 millions de dollars auraient été dérobés.

En guise de complément d'information, Cryptopolitan s'est entretenu avec Dmitry Mishunin, PDG et fondateur de HashEx, une société de R&D spécialisée dans l'intégration de la blockchain aux processus métier et à la cybersécurité. Dmitry possède unetronexpertise technique en cybersécurité et applications décentralisées, ainsi qu'une expérience impressionnante dans le développement de systèmes de sécurité de l'information.

Vous trouverez ci-dessous des extraits de l'interview

Q : Êtes-vous surpris par le nombre de piratages et d'exploits auxquels les utilisateurs sont confrontés ces derniers temps ?

Malheureusement, non. On constate que de plus en plus de personnes rédigent leurstracintelligents. Cependant, elles manquent souvent de compétences en programmation et d'une bonne compréhension de Solidity, actuellement le seul langage de programmation compatible avec Ethereum. Une bonne maîtrise de ce langage est indispensable à la création d'un protocole DeFi fiable, et ignorer certaines de ses subtilités peut facilement mener à des exploitations de failles et à des vols de fonds.

Q : Comment le fait d'accepter ou de signer untracintelligent contenant un code malveillant peut-il entraîner le vol de vos actifs ?

Chaque utilisateur doit savoir que les transactions blockchain sont irréversibles : une fois qu'un certain montant de token ERC-20 est approuvé pour un contrat intelligent ERC-20tracil y est transféré de manière irréversible. Un contrattracavoir un code source vérifié et exempt de failles, mais peut également dépendre d'une bibliothèque non vérifiée. Approuver des tokens pour un tel contrattracun risque important, car il est impossible de contrôler le fonctionnement de cette bibliothèque.
Ce fut le cas pour le projet StableMarket, lors duquel au moins 27 millions de dollars de fonds d'utilisateurs ont été dérobés. Les contrats du projet StableMarkettracd'un code audité, mais étaient déployés avec une bibliothèque non vérifiée. Cette bibliothèque était malveillante et a permis de voler les tokens des utilisateurs stockés dans le protocole.

Un autre risque pour les utilisateurs réside dans l'approbation de jetons pour un contrat intelligent évolutiftracun teltracpeut être automatiquementmaticà jour avec un code malveillant et dérober les jetons approuvés.
Souvent, les applications frontales approuvent des montants maximums de jetons pour un contrattracet non seulement le montant qui sera utilisé. Ceci permet de couvrir les frais de gaz en une seule transaction. Si un utilisateur dépose des jetons sur un contrattracil devra payer des frais de gaz supplémentaires. Cependant, si un contrattracde manière malveillante, il peut retirer n'importe quel montant de jetons du portefeuille.

Par conséquent, la meilleure pratique pour une sécurité maximale consiste toujours à vérifier le montant de l'approbation et à n'approuver que le montant nécessaire à l'exécution dutrac.

Q : Les pirates informatiques deviennent-ils plus intelligents ou les utilisateurs de cryptomonnaies sont-ils moins prudents quant à leurs procédures de cybersécurité ?

Les deux affirmations sont vraies. Les pirates informatiques ont réalisé des progrès considérables dans l'exploitation des plateformes de prêts express, en les combinant à différents protocoles pour créer et exploiter des vulnérabilités. Prises individuellement, ces autres plateformes sont généralement sûres, mais les prêts express engendrent une complexité structurelle accrue, ce qui augmente la fréquence des vulnérabilités.

Ces attaques sont très complexes. Leur analyse est déjà très longue. De plus, de nombreux projets sont piratés car leur code est mal conçu et comporte des bugs simples qui seraient probablement corrigés par des tests ou un audit du code.
La responsabilité incombe aussi aux utilisateurs, car beaucoup connaissent les bonnes pratiques permettant de minimiser les risques, comme le stockage hors ligne. Pourtant, ils les négligent souvent, se laissant emporter par une opportunité potentiellement très lucrative. Parfois, ils finissent simplement par perdre leur argent.

Q : Comment les utilisateurs peuvent-ils mieux protéger leurs actifs sur Metamask et les dapps associées telles qu'OpenSea et DeFi?

La meilleure protection consiste à ne pas stocker tous ses actifs dans des portefeuilles en ligne (hot wallets), mais à les transférer vers des portefeuilles hors ligne (cold wallets), ces derniers n'ayant pas accès à Internet. Il est préférable de ne stocker dans les portefeuilles en ligne qu'une petite quantité d'actifs nécessaires aux opérations et de conserver le reste hors ligne.
Par ailleurs, il est conseillé aux utilisateurs de suivre les règles de sécurité habituelles : utiliser un antivirus, éviter d'ouvrir les liens suspects dans les courriels et activer l'authentification à deux facteurs lorsque cela est possible.

Q : Pensez-vous que les piratages et les exploits deviendront plus courants à mesure que le secteur se développera ?

À mesure que le secteur se développe et que de nouveaux projets voient le jour, le risque de piratage augmente. S'il est impossible d'éliminer tous les bugs, les entreprises spécialisées en sécurité blockchain s'efforcent constamment de les minimiser. Cela implique non seulement des audits du code source des projets, mais aussi le développement d'outils analytiques permettant de prévenir l'apparition des bugs, ou du moins de les détecter dès les premières étapes du développement.

Q : Quel rôle joue HashEx dans l'expansion du secteur des cryptomonnaies ?

Nous sensibilisons le public à la transparence et à la sécurité des applications décentralisées. Leur fonctionnement est trop complexe et opaque pour être compris par l'utilisateur lambda. De plus, personne de sensé ne confierait son argent à un système qu'il ne comprend pas, à l'instar de Pinocchio au Champ des Miracles. Nous expliquons les concepts complexes en termes simples et mettons en lumière les pièges à éviter. Nous aidons également les investisseurs potentiels à prendre des décisions éclairées concernant leurs placements.

Mais avant tout, nous sommes un cabinet d'audit spécialisé dans la finance décentralisée DeFi et les cryptomonnaies. Concrètement, nous réalisons de nombreux audits detracintelligents et aidons ainsi les projets crypto à gagner la confiance des investisseurs. Ces derniers ont davantage confiance dans les projets bien protégés contre les erreurs coûteuses susceptibles d'impacter négativement leurs investissements.

Q : Que pensez-vous des mesures prises par le G7 et ledent américain Joe Biden pour mettre fin aux ransomwares, à la cybersécurité et aux fréquents piratages de cryptomonnaies ?

L'amélioration continue des normes de sécurité fait partie intégrante de nos pratiques et de notre philosophie d'entreprise. Nous nous efforçons d'instaurer la confiance dans l'écosystème DeFi , encore largement dépourvu de confiance. Cet enjeu est crucial dans tous les domaines informatiques, et pas seulement dans DeFi. Face à l'émergence rapide de nouveaux logiciels, la cybersécurité est malheureusement négligée, offrant ainsi aux pirates informatiques des opportunités d'exploitation. Deux raisons principales expliquent ce phénomène : la programmation automatisée et une main-d'œuvre peu qualifiée, souvent sous-payée.

C'est un inconvénient majeur des entreprises informatiques à croissance rapide. Dans cet environnement ultra-concurrentiel, les entreprises rivalisent d'ingéniosité pour se démarquer, proposent de nouveaux produits et négligent souvent les problèmes de sécurité, malgré leur importance. Il en résulte parfois des systèmes complexes, utilisés par un grand nombre de clients, qui contiennent des failles de sécurité susceptibles d'entraîner des pertes financières pour les utilisateurs. Dans certains cas, les conséquences de ces failles peuvent même s'étendre à l'échelle d'un continent.

De ce point de vue, l'intervention gouvernementale est pleinement justifiée. Sans l'implication des gouvernements des États dans ces problématiques, qui d'autre s'attaquerait aux entreprises cupides et les inciterait à consacrer des efforts à la sécurité et au développement de logiciels de manière responsable ?

Si les citoyens commencent à signaler les piratages informatiques aux agences gouvernementales, cela aura un effet positif. Une information rapide peut contribuer à minimiser les conséquences d'une panne potentielle en permettant de mobiliser les voies de secours (la situation de l'approvisionnement en pétrole de la côte est des États-Unis en est un bon exemple).

Des normes de sécurité unifiées pour l'ensemble du secteur seraient bénéfiques, à condition qu'elles soient élaborées par des experts plutôt que par des personnes extérieures. Même au stade initial du développement des applications décentralisées (DApps), nous constatons que de telles normes sont mises en œuvre par les principaux organismes d'audit. L'intégration de ces protocoles profitera à tous : elle simplifiera la programmation, sécurisera les codes et protégera les fonds des utilisateurs.

Q : Ces piratages, parlez-nous de leur impact sur l'industrie des cryptomonnaies

Les retours sur l'industrie des cryptomonnaies témoignent d'une volonté de contrôler les fonds volés. Je pense que c'est une bonne chose. Actuellement, les cryptomonnaies ne permettent pas d'accéder à tous les services du monde réel. La situation évolue chaque jour, mais elle est loin d'être idéale. Par conséquent, les pirates informatiques ont toujours besoin d'un intermédiaire entre les cryptomonnaies et les monnaies fiduciaires pour retirer les fonds acquis illégalement.

C’est à ce stade que les criminels peuvent êtredent. Plus on en arrête, moins ils seront tentés de récidiver. On peut se rappeler comment, dans les cultures orientales, on mutilait les corps pour commettre des vols. De telles interventions des forces de l’ordre ont un impact entièrement positif sur le secteur des cryptomonnaies et sa réputation. Ces actions contribuent à renforcer le sentiment de sécurité.

Q: Quelles sanctions recommanderiez-vous à l'encontre des personnes mal intentionnées responsables de nombreux piratages de cryptomonnaies afin de dissuader d'autres personnes de récidiver ?

Comme je l'ai déjà dit, je suis tout à fait favorable à ce que de tels individus soient sanctionnés. Je considérerais ces opérations comme des fraudes financières d'une gravité variable et j'engagerais des poursuites judiciaires en conséquence. Je ne chercherais pas à élaborer de nouvelles lois à ce stade.

Q : Un monde crypto sans piratage est quasiment impossible à réaliser. Comment les acteurs du secteur crypto, les décideurs politiques et tous les autres peuvent-ils réduire les attaques au strict minimum ?

Aucun domaine informatique n'est inconcevable sans cybermenaces. Mais lorsqu'il s'agit d'entreprises classiques, on n'aperçoit que la partie émergée de l'iceberg. De nombreux piratages se produisent en secret, car les entreprises risquent de nuire gravement à leur réputation si ces informations sont divulguées. Avec les cryptomonnaies, tout est transparent et public, ce qui explique la fréquence d'apparition de ces informations dans les médias.

La cybersécurité est une pratique multidimensionnelle qui englobe les cadres réglementaires aux points d'entrée et de sortie des échanges crypto-monnaie, la sensibilisation des utilisateurs, la vérification du code par des équipes de cybersécurité, etc. Ce secteur étant encore jeune, il offre une excellente opportunité de l'orienter dans la bonne direction. Ainsi, nous pourrons adopter des pratiques plus sûres dès le départ, plutôt que de tenter de corriger les failles ultérieurement.