Aujourd'hui, le marché de la blockchain dans son ensemble n'en est qu'à ses débuts, et le marché de la finance décentralisée (DeFi) en est la partie la plus prometteuse. Selon les données de DefiLlama, en 2021, le marché de la DeFi disposait d'environ 200 milliards de dollars de liquidités bloquées dans des smart contracts. Si nous considérons ce capital comme un investissement initial, ce marché semble être une entreprise très prometteuse. Peu d'entreprises mondiales peuvent se vanter d'une telle capitalisation. Cependant, tout jeune marché a ses problèmes de démarrage. Avec la DeFi, le principal problème est le manque de développeurs de blockchain qualifiés.
Ce secteur est très jeune et sa base d'utilisateurs est relativement restreinte. La plupart des gens ont au mieux entendu parler de la DeFi sans avoir la moindre idée de ce que c'est. Toutefois, comme c'est le cas avec chaque nouvelle entreprise prometteuse, elle suscite rapidement beaucoup d'intérêt spéculatif. Malheureusement, la préparation du personnel prend beaucoup plus de temps, surtout lorsqu'il s'agit de sphères aussi exigeantes en connaissances que le développement de blockchains et de smart contracts. Cela signifie que certaines équipes de projet devront faire des compromis et embaucher du personnel moins expérimenté.
Ce problème crée inévitablement un risque croissant de failles de sécurité dans le code de ces projets. Il faut ensuite faire face à ses conséquences en termes de perte de capital utilisateur. Pour comprendre brièvement l'ampleur de ce problème, je peux dire qu'environ 10 % de la liquidité totale bloquée dans la DeFi a été volée par des pirates informatiques. Il ne devrait surprendre personne que le grand public préfère rester à l'écart d'un système financier qui présente de tels dangers pour ses fonds.
À lire également : Comment les protocoles DeFi sont-ils piratés ?
Comment les attaques contre la DeFi ont-elles évolué récemment ?
Les attaques contre la DeFi ont longtemps été centrées sur les attaques de réentrance. On se souvient du célèbre piratage de The DAO en 2016 qui a entraîné la perte de 150 millions de dollars de capitaux d'investisseurs et a conduit au hard fork d'Ethereum. Depuis lors, cette vulnérabilité a été exploitée à de nombreuses reprises dans différents smart contracts.
La fonction de rappel est activement utilisée par les protocoles de prêt : elle permet aux smart contracts de vérifier le solde des garanties des utilisateurs avant d'accorder un prêt. Tout ce processus se déroule en une seule transaction, ce qui a donné aux pirates une solution de rechange pour voler de l'argent à partir de ces smart contracts. Lorsque vous envoyez une demande d'emprunt, la fonction de rappel vérifie d'abord le solde de la garantie, puis accorde le prêt si la garantie est suffisante et modifie ensuite le solde de la garantie de l'utilisateur dans le smart contract.
Pour tromper le smart contract, les pirates renvoient l'appel à la fonction de rappel pour lancer ce processus depuis le début. Comme la transaction n'a pas été finalisée sur la blockchain, la fonction accorde un autre prêt pour le même solde de garantie. Même si la solution à ce problème existe depuis assez longtemps, de nombreux projets en sont encore victimes.
Parfois, des équipes de projet ayant peu de compétences dans l'écriture de smart contracts décident d'emprunter le codebase d'un autre projet DeFi open-source pour déployer leur propre smart contract. Ils le font normalement avec des projets réputés qui ont été audités, qui ont une grande base d'utilisateurs et qui ont prouvé qu'ils étaient construits de manière sûre. Cependant, ils peuvent décider d'apporter des modifications mineures au code emprunté pour ajouter des fonctionnalités qu'ils souhaitent avoir dans leur smart contract, sans même modifier le code original. Cela peut endommager la logique du smart contract, ce dont les développeurs ne se rendent souvent pas compte.
C'est ce qui a permis aux pirates de voler environ 19 millions de dollars à Cream Finance en août 2021. L'équipe de Cream Finance a emprunté le code d'un autre protocole DeFi et a ajouté un token de rappel dans son smart contract. Même si vous pouvez prévenir les attaques par réentrance en mettant en œuvre le schéma « vérifications, effets, interactions » qui donne la priorité à la modification du solde sur l'émission de fonds, certaines équipes ne parviennent toujours pas à protéger leurs plateformes contre ces attaques.
Les attaques de type « flash loan » permettent aux pirates de voler des fonds différemment et sont de plus en plus populaires depuis le boom de la DeFi en 2020. L'idée principale des attaques de type « flash loan » est qu'il n'est pas nécessaire de disposer d'une garantie pour emprunter des fonds à un protocole, car la parité financière est toujours garantie par le fait que le prêt est pris et rendu en une seule transaction. En effet, la parité financière est toujours garantie par le fait que le prêt est contracté et remboursé dans le cadre d'une seule transaction. Cependant, les attaquants ont été en mesure d'effectuer des attaques réussies de type « flash loan » sur de nombreux protocoles.
À lire également : Nécessaire : Un projet d'éducation massive pour lutter contre les piratages et les escroqueries
Pour ce faire, ils utilisent plusieurs protocoles pour emprunter et faire circuler les liquidités jusqu'à l'acte final où ils amplifient le prix d'un token par le biais d'oracles ou de pools de liquidité et l'utilisent pour escroquer un Pump and Dump et partir avec des liquidités dans un ensemble de cryptomonnaies majeures différentes comme l'ether (ETH), le Wrapped Bitcoin (wBTC) et d'autres. Parmi les attaques de prêts flash célèbres, citons l'attaque contre Pancake Bunny, où le protocole a perdu 200 millions de dollars, et une autre attaque contre Cream Finance, dans laquelle plus de 100 millions de dollars ont été volés.
Comment lutter contre les attaques de la DeFi ?
Pour construire un protocole DeFi sécurisé, l'idéal est de ne faire confiance qu'à des développeurs de blockchain expérimentés. Ils devraient avoir un chef d'équipe professionnel ayant des compétences dans la conception d'applications décentralisées. Il est également sage de ne pas oublier d'utiliser des bibliothèques de code sûres pour le développement. Parfois, les bibliothèques les moins à jour peuvent être l'option la plus sûre que celles avec les codes les plus récents.
Les tests sont une autre mesure cruciale que tous les projets DeFi sérieux doivent prendre. En tant que PDG d'une société d'audit de smart contracts, j'essaie toujours de couvrir 100 % du code de nos clients et j'insiste sur l'importance de la protection décentralisée des clés privées utilisées pour appeler les fonctions des smart contracts à accès restreint. Il est préférable d'utiliser la décentralisation de la clé publique par le biais d'une multisignature qui empêche une entité d'avoir un contrôle total sur le contrat.
Au final, l'éducation est l'une des clés qui permettra aux systèmes financiers basés sur la blockchain de devenir plus sûrs et plus fiables. Et l'éducation devrait être l'une des principales préoccupations de ceux qui cherchent un emploi dans la DeFi, car elle peut offrir des récompenses alléchantes à tous ceux qui peuvent apporter une contribution viable.
Cet article ne contient pas de conseils ou de recommandations en matière d'investissement. Tout investissement et toute opération de trading comporte des risques, et les lecteurs doivent effectuer leurs propres recherches avant de prendre une décision.
Les points de vue, réflexions et opinions exprimés ici n'engagent que l'auteur et ne reflètent ni ne représentent nécessairement les points de vue et opinions de Cointelegraph.