Le Federal Bureau of Investigation (FBI) des États-Unis a envoyé un nouvel avertissement aux investisseurs engagés sur les plateformes financières décentralisées (DeFi), qui ont été la cible de 1,6 milliard de dollars de hacks en 2022.
Dans un message d'intérêt public diffusé mardi sur le site Internet Crime Complaint Center du FBI, l'agence a déclaré que les hacks ont fait perdre de l'argent aux investisseurs. Elle a conseillé à ceux-ci d'effectuer des recherches diligentes sur les plates-formes DeFi avant de les utiliser, tout en les incitant à améliorer la surveillance et à effectuer des tests de code plus rigoureux.
L'organisme chargé de l'application de la loi a prévenu que les cybercriminels sont à pied d'œuvre pour tirer parti de « l'intérêt croissant des investisseurs pour les cryptomonnaies », ainsi que de « la complexité des fonctionnalités inter-chaînes et de la nature open source des plateformes DeFi ».
The #FBI warns that cyber criminals are increasingly exploiting vulnerabilities in decentralized finance (DeFi) platforms to steal investors cryptocurrency. If you think you are the victim of this, contact your local FBI field office or IC3. Learn more: https://t.co/fboL1N17JN pic.twitter.com/VKdbpbmEU1
— FBI (@FBI) August 29, 2022
Le #FBI prévient que les cybercriminels tirent de plus en plus profit des vulnérabilités présentes dans les plateformes de finance décentralisée (Defi) pour dépouiller les investisseurs de leurs cryptomonnaies. Si vous pensez avoir été victime de cela, contactez votre bureau local du FBI ou l'IC3. Pour en savoir plus : https://t.co/fboL1N17JN pic.twitter.com/VKdbpmEU1
- FBI (@FBI) 29 août 2022
Le FBI a en effet pu remarquer que des cybercriminels profitaient des failles présentes dans les smart contracts qui régissent les plateformes DeFi afin de voler les cryptomonnaies des investisseurs.
Dans un exemple précis, le FBI a mentionné des cas où des pirates ont exploité une « vulnérabilité au niveau de la vérification des signatures » pour piller 321 millions de dollars du bridge de tokens Wormhole en février dernier. Le FBI a également fait mention d'un cas de piratage par prêt flash qui a servi à déclencher une faille dans le protocole Solana DeFi Nirvana en juillet.
Cependant, ceci n'est qu'une goutte d'eau dans un vaste océan. En effet, selon une analyse de la société de sécurité blockchain CertiK, plus de 1,6 milliard de dollars ont été volés depuis le début de l'année dans le secteur DeFi, soit plus que le montant total volé en 2020 et 2021 réunis.
Le FBI recommande un contrôle préalable et des vérifications
Tout en reconnaissant que « tout investissement comporte un certain risque », le FBI a recommandé aux investisseurs de procéder à des recherches approfondies sur les plateformes de DeFi avant de commencer à les utiliser et, si un doute subsiste, de demander conseil à un conseiller financier agréé.
L'agence a ajouté qu'il était également capital que les protocoles de la plateforme soient solides et soumis à un ou plusieurs audits de code réalisés par des auditeurs indépendants.
En général, un audit de code consiste en un examen du code sous-jacent de la plateforme pour identifier les vulnérabilités ou les faiblesses susceptibles d'être exploitées.
Selon le FBI, il convient également de faire preuve d'une extrême prudence à l'égard des pools d'investissement DeFi qui accordent un « délai extrêmement limité pour adhérer » ou qui « déploient rapidement des smart contracts », surtout si un audit de code n'a pas été effectué.
Les solutions de crowdsourcing, qui génèrent des idées ou du contenu en demandant des contributions à un grand groupe de personnes, ont également été signalées par l'organisme d'application de la loi :
« Les dépôts de code Open Source donnent un accès sans restriction à tous les individus, y compris ceux qui ont des intentions néfastes. »
Selon le FBI, les plateformes DeFi peuvent également contribuer à renforcer la sécurité en testant régulièrement leur code pour identifier les vulnérabilités, ainsi qu'en effectuant des analyses et une surveillance en temps réel.
Un plan de riposte aux incidents et la transmission aux utilisateurs d'informations sur les éventuels failles de la plateforme, les piratages, les hack et toute autre activité suspecte font également partie des recommandations.
Mais à défaut, le FBI invite les investisseurs américains ciblés par les pirates à les contacter par le biais de l'Internet Crime Complaint Center ou de leur bureau local du FBI.
À lire également : Le FBI lance un avertissement public sur les fausses applications cryptos
Au début de l'année, Lisa Monaco, procureur général adjoint des États-Unis, a annoncé que le FBI redoublait d'efforts dans la lutte contre la criminalité liée aux actifs numériques, en mettant sur pied la Virtual Asset Exploitation Unit.
Cette unité spéciale est consacrée aux cryptomonnaies. Elle est composée d'experts chargés d'analyser les blockchains, dans le cadre d'un changement de stratégie visant à déstabiliser les réseaux criminels internationaux au lieu de se contenter de les poursuivre en justice.