Selon un nouveau rapport de l'agrégateur de données de cryptomonnaie Token Terminal, environ 50 % des exploits dans la finance décentralisée, ou DeFi, se produisent sur les ponts cross-chain. En deux ans, plus de 2,5 milliards de dollars ont été volés par des pirates informatiques via l'exploitation de vulnérabilités sur les ponts cross-chain. Ce montant est énorme par rapport à d'autres failles de sécurité, comme les piratages de prêts DeFi (718 millions de dollars) et les exploits d'exchange décentralisés (362 millions de dollars) au cours de cette période.
Bridge exploits account for ~50% of all DeFi exploits, totaling ~$2.5B in lost assets
— Token Terminal (@tokenterminal) October 18, 2022
These hacks can typically be attributed to smart contract loopholes (e.g. Wormhole & Nomad) or compromised private keys (e.g. Ronin & Harmony).
What will it take to create secure bridges? pic.twitter.com/LrVf0W0zeK
Les exploits de pont représentent environ 50 % de tous les exploits deFi, totalisant environ 2,5 milliards de dollars en actifs perdus. Ces piratages peuvent généralement être attribués à des failles dans les contrats intelligents (p. ex. Wormhole et Nomad) ou à des clés privées compromises (p. ex. Ronin et Harmony). Que faudra-t-il pour créer des ponts sécurisés ? pic.twitter.com/LrVf0W0zeK - Token Terminal (@tokenterminal) 18 octobre 2022.
Les ponts inter-chain, qui permettent aux utilisateurs de transférer des actifs numériques d'une chaîne à une autre, sont connus pour leur capacité à résoudre les problèmes de mise à l'échelle des chaînes multiples. Cependant, la complexité de leur construction et de leur audit ultérieur, combinée aux montants massifs de fonds bloqués dans leurs contrats intelligents, a attiré l'attention des pirates.
Mitchell Amador, PDG d'Immunefi et expert en sécurité, a expliqué que certains développeurs de l'espace DeFi manquent tout simplement des connaissances nécessaires pour sécuriser des mécanismes aussi complexes :
« De nombreux développeurs lancent des projets en copiant et en collant simplement le code d'autres projets. Quand l'un de ces projets présente une vulnérabilité, les autres ont généralement cette même vulnérabilité. Les smart contracts open source, étant visibles et accessibles à tous, peuvent facilement attirer les blackhats qui les étudient, découvrent où ils sont vulnérables et les exploitent. »
Il apparaît également que la grande majorité des exploits par échange croisé qui se sont produits jusqu'à présent ont eu lieu sur les blockchains Ethereum Virtual Machine (EVM). Cela inclut les incidents les plus graves de cette année, comme le piratage du pont Axie Infinity Ronin, celui du pont de tokens Wormhole et celui du pont Nomad.
Pendant ce temps, les ponts inter-chain basés sur le protocole Cosmos Inter-Blockchain Communications (IBC), qui a dépassé le milliard de dollars en valeur totale bloquée, ont largement évité les attaques. Cependant, la semaine dernière, Ethan Buchman, cofondateur de Cosmos, a déclaré qu'une importante faille de sécurité avait été découverte sur IBC après des audits de sécurité. L'exploit a été corrigé et aucun fonds n'a été perdu à la suite de l'incident.