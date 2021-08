Comparer

Tweeter

Comparer

Comparer

E-mail

Deux choses sont distinctives pour le segment DeFi en ce moment : il atteint des sommets sans précédent ; il est mal réglementé et presque personne avec des ressources ou des compétences techniques peut exécuter un contrat intelligent et attirer le public. Ces deux-là rendent le terrain trop attractif pour les attaquants : près de 300 dollars en DeFi ont été volés depuis 2019, dont environ 150 dollars rien qu’en 2021.

Comment exactement ces attaques se produisent-elles et comment vous protégez-vous ? Nous passerons en revue les mécanismes et fournirons des exemples des plus grandes attaques contre DeFi afin que vous puissiez voir quels protocoles doivent être particulièrement prudents.

DeFi donne accès à des services financiers basés sur la blockchain, tels que des prêts, des prêts et des intérêts. La clé est que DeFi est inclusif et sans autorisation – n’importe qui, indépendamment de sa citoyenneté, de son statut social et de ses antécédents de crédit, peut en profiter. DeFi n’a aucune confiance car il fonctionne sur des contrats intelligents – tous les termes et conditions ont été décrits à l’avance, écrits dans le code, et maintenant exécutés sans intervention humaine. La seule chose à laquelle vous pouvez faire confiance ici est la capacité de l’équipe de protocole à écrire du bon code. Ceci, à son tour, est généralement vérifié par des audits et par la communauté, car la plupart des projets sont open source.

Si cela n’a pas de sens pour vous, envisagez de lire ces premiers : 8 avantages de la finance décentralisée et 7 plus grands projets DeFi en 2021.

Cependant, comment cela laisse-t-il place à la manipulation ?

Un piratage dans DeFi, c’est quand quelqu’un utilise les vulnérabilités d’un protocole pour accéder aux fonds qui y sont bloqués. Voici les trois principales « stratégies » pour y parvenir :

Les projets DeFi sont réalisés très rapidement et l’équipe n’a pas toujours le temps de revoir en profondeur leur code. Les pirates profitent de ces vulnérabilités. Chaque protocole de DeFi a ses propres mécanismes pour déterminer comment les utilisateurs verrouillent leurs fonds et comment ils sont récompensés en retour. Parfois, les fondateurs de protocoles ne voient pas comment certains de ces mécanismes peuvent être abusés et transformés en échappatoires pour de gros profits. Certaines équipes causent intentionnellement des problèmes – elles abusent de leur énorme influence sur le projet (ce que la communauté n’a pas remarqué) en vendant leurs parts et en abandonnant le jeton.

Considérons les deux mécaniques les plus utilisées dans DeFi : Tirettes de tapis Oui Attaques de prêt flash .

Dans un accroc, les propriétaires ou les développeurs retirent soudainement leurs liquidités d’un pool, provoquant la panique et poussant tout le monde à vendre l’actif. Fondamentalement, c’est une escroquerie de sortie. Plus l’implication des fondateurs dans un projet est grande, plus il est suspect : le tirage de tapis est exactement l’un de ces risques de centralisation discutés sur DeFi.

Voici comment cela se passe depuis le début : les fondateurs annoncent une nouvelle plate-forme avec leur jeton natif qui offre des incitations intéressantes. L’équipe crée ensuite un pool de liquidités sur un échange décentralisé comme Uniswap où le jeton est associé à l’ETH, au DAI ou à d’autres devises majeures. Les utilisateurs sont encouragés à apporter plus de liquidités, car cela leur apportera des rendements élevés. Dès que le prix du token monte, les fondateurs retirent leur liquidité et disparaissent.

Le gros pari des développeurs n’est pas un gros problème, mais même s’il y en a un, il existe un moyen de protéger le projet : les développeurs peuvent configurer le programme d’une manière qui ne leur permet pas de se retirer avant un certain jour dans le futur. . Cela apporte beaucoup de confiance dans le projet.

Qu’est-ce qu’un prêt flash ? Il vous permet d’emprunter des montants illimités d’argent non garanti pour une durée très courte, lors d’une seule transaction. Vous devez rembourser le prêt plus les intérêts avant que le prochain bloc ne soit extrait, ce qui se produit en quelques secondes. Si vous ne remboursez pas le prêt, la transaction ne sera pas réglée et les fonds empruntés vous seront retirés.

L’arbitrage est l’un des principaux cas d’utilisation des prêts flash : profiter des différences de prix d’un actif sur différentes plateformes. Disons qu’Ethereum coûte 2 000 $ sur l’échange A et 2 100 $ sur l’échange B. Vous pouvez contracter un prêt flash d’une valeur de 2 000 $, acheter des ETH sur l’échange A, le vendre sur l’échange B, et votre profit sera de 100 $ en moins d’essence et de prêt .

Le caractère illimité des prêts flash ouvre la voie aux exploits. Voici un aperçu général d’une attaque éclair :

Un attaquant emprunte 200 A Tokens d’une valeur de 100 000 $ (A Token coûte 500 $). Ensuite, vous achetez agressivement le Token B dans un pool de liquidité A / B. Cela augmente le prix du Token B, tandis que le Token A se décharge et ne vaut plus que 100 $. Lorsque le Token B monte en flèche, l’attaquant le vend à nouveau pour le Token A à 100 $. Maintenant, vous pouvez payer 1 000 Tokens A par rapport aux 200 initiaux (après une baisse de prix de 5 fois). Cependant, l’attaquant a effondré le prix du Token A uniquement sur ce contrat intelligent. Le prêteur de prêt flash prend toujours des jetons A à 500 $. Par conséquent, l’attaquant rembourse le prêt avec ses 200 jetons A et prend les 800 restants.

Comme vous pouvez le constater, les prêts flash exploitent la nature des échanges décentralisés sans véritable piratage. Ils se contentent de vider le jeton A et de supprimer une partie importante de la liquidité du pool, qui consiste essentiellement à voler des fonds aux fournisseurs de liquidité.

Il s’agit d’un exemple classique de tirage de tapis, exécuté cependant avec un cynisme exceptionnel. Meerkat Finance était un protocole de culture de rendement dans lequel les propriétaires n’avaient même pas accès aux fonds communs. Peu de temps avant l’attaque (et un jour après le lancement du projet!), Ils ont mis à jour le protocole pour obtenir cet accès, supprimé tous les comptes de médias sociaux de Meerkat Finance et leur site Web, et se sont échappés avec 13 millions de dollars en pièces stables et 17 millions de dollars en 73 000 BNB.

Les enjeux augmentent ! 37 millions de dollars ont été volés lors de l’attaque d’Alpha Homora en février. Cette plate-forme de prêt et de prêt a été lancée en octobre 2020 et a récemment été mise à jour vers une V2. Dans l’un des pools Alpha Homora V2, un attaquant a emprunté et prêté des millions de pièces stables, gonflant leur valeur, permettant à l’attaquant de réaliser d’énormes profits.

L’un des piratages DeFi les plus sérieux s’est produit en avril avec EasyFi, un protocole de prêt basé sur Polygon. Lors d’une attaque, les clés privées d’un administrateur réseau ont été volées, permettant aux attaquants d’accéder aux fonds de l’entreprise. 3 millions de tokens EASY d’une valeur de 75 000 000 $ ont été volés. En plus de cela, 6 000 000 $ supplémentaires de pièces stables ont été retirés du coffre-fort d’EasyFi.

Il s’agit d’une autre attaque de prêt flash sur notre liste, particulièrement illustrative cette fois. Saddle Finance, un protocole de type Curve pour le trading d’actifs enveloppés et de stablecoins, a été attaqué le 21 janvier 2021, un jour après son lancement. En menant une série d’exploits d’arbitrage, les attaquants ont réussi à prendre près de 8 BTC de liquidité en seulement 6 minutes. Cela a été possible en raison d’une vulnérabilité dans le contrat intelligent d’un groupe : les attaquants ont tellement étiré les prix des pièces stables qu’un des jetons d’une valeur de 0,09 BTC a été échangé contre un autre d’une valeur de 3,2 BTC.

Les prêts urgents se produisent toujours de manière inattendue et la probabilité d’une traction de tapis ne peut pas toujours être vue à l’avance. Cependant, suivre ces conseils vous aidera à attirer davantage l’attention sur les signes suspects et à éviter de perdre de l’argent. Nous vous recommandons de porter une attention particulière à :

L’équipe et sa réputation. Qui sont les fondateurs et développeurs ? L’équipe est-elle publique ? Avez-vous déjà été impliqué dans un projet de cryptographie digne de confiance ? Sinon, ce n’est pas nécessairement une mauvaise chose, mais cela devrait être une source de préoccupation.

Accès aux coffres. L’équipe l’a-t-elle ? Jusqu’à quel point ? Si la part des fondateurs dans le groupe est trop élevée, ce n’est pas un signal d’alarme.

Accès multi-signatures aux fonds de l’entreprise. Si les développeurs ont activé l’accès multi-signatures aux coffres-forts et qu’une personne extérieure à l’équipe a des signatures, cela peut aider à empêcher que le tapis ne soit tiré.

Liquidité fixée dans le temps. Si les développeurs ont bloqué leurs fonds pendant environ un an, les utilisateurs peuvent être assurés que l’équipe ne sortira pas de l’arnaque au moins avant la fin de cette période. Des quantités considérables de liquidités dans les portefeuilles à mesure que DeFi expirent pourraient être le principal facteur de réduction de la susceptibilité aux attaques de prêt précipitées. Les plafonds de prêts flash ne permettraient pas les attaques. Les audits de sécurité pour les contrats intelligents libéreraient l’espace pour les personnes vulnérables et mal configurées. Une meilleure réglementation aiderait à ne pas publier sciemment des protocoles vulnérables. Les primes de bogues communautaires déjà créées par certains projets aident les utilisateurs à être récompensés pour avoir trouvé des bogues et des portes dérobées dans les protocoles.

DeFi a révolutionné la finance avec des outils sans confiance et sans autorisation pour générer des revenus substantiels en un rien de temps. Cependant, ses nombreuses vulnérabilités sont souvent utilisées par des attaquants et des développeurs malveillants. Chaque attaque pousse les protocoles à augmenter leur sécurité, et c’est ainsi que les piratages DeFi aident l’industrie à se développer. Mais jusqu’à ce que ce soit plus sûr, faites vos recherches sur les projets dans lesquels vous prévoyez d’investir. Mettez votre argent uniquement là où vous avez confiance et rappelez-vous que il y a toujours certains risques.