Les analyses de nombreux hacks montrent les principaux vecteurs et vulnérabilités existantes dans l’industrie de la finance décentralisée (DeFi). Le monde DeFi se développe à un rythme rapide. Il y a environ trois ans, la valeur totale bloquée dans la finance décentralisée n’était que de 800 millions de dollars.

En février de cette année, ce chiffre avait bondi pour atteindre 40 milliards de dollars et en avril 2021, il avait atteint le cap des 80 milliards de dollars. Actuellement, on pense que ce chiffre dépasse 140 milliards de dollars. Cette croissance rapide et massive sur un marché naissant a également beaucoup attiré l’attention de toutes sortes de pirates et de fraudeurs.

D’après un rapport d’une société de recherche sur les crypto-monnaies, depuis 2019, l’industrie DeFi a perdu près de 284,9 millions de dollars à cause de piratages et de nombreuses autres attaques par exploit. Les hacks des écosystèmes blockchain sont un parfait moyen d’enrichissement du point de vue des hackers. Étant donné que tous ces systèmes sont anonymes, ils ont de l’argent à perdre et tout piratage peut être réglé et testé à l’insu de la victime.

Au cours des quatre premiers mois de cette année, les pertes ont grimpé en flèche pour atteindre 240 millions de dollars et ce sont les cas connus du public. On peut estimer que les pertes réelles pourraient atteindre des milliards de dollars.

Comment tout cet argent est-il volé dans les protocoles financiers décentralisés ? Diverses stratégies d’attaque de pirates existent et les experts ont maintenant déterminé les défis les plus courants qui aboutissent à des attaques de pirates réussies.

Utilisation abusive d’erreurs de logique métier et de protocoles tiers

Toute attaque commence principalement par une analyse de la victime. La technologie Blockchain offre de nombreuses possibilités de réglage automatique et de simulation de scénarios de piratage. Pour qu’une telle attaque soit rapide et relativement invisible, l’attaquant doit avoir les compétences de programmation nécessaires et la connaissance du fonctionnement des contrats intelligents.

La boîte à outils normale d’un pirate informatique leur permet de télécharger leur copie complète d’une blockchain à partir de la version principale du réseau. Ils peuvent alors ajuster complètement l’ensemble du processus d’une attaque comme si la transaction se déroulait dans un réseau réel.

Après cela, le pirate doit étudier le modèle commercial impliqué du projet et les services externes utilisés. Les erreurs qui surviennent dans les modèles mathématiques de la logique métier et des services tiers sont deux des problèmes principalement exploités par ces pirates.

Les développeurs de ces contrats intelligents ont normalement besoin de plus de données pertinentes au moment d’une transaction qu’ils ne peuvent en avoir à tout autre moment. Ils sont donc contraints d’utiliser des services externes, par exemple des oracles. Ces services ne sont pas conçus pour fonctionner dans un environnement sans confiance, ce qui signifie que leur utilisation implique des risques supplémentaires.

Sur la base des statistiques d’une année civile, depuis l’été 2021, le type de risque concerné représentait le plus petit pourcentage de pertes, seulement 10 piratages, entraînant des pertes totalisant près de 50 millions de dollars.

Erreurs et problèmes de codage

Les contrats intelligents sont encore un nouveau concept dans l’espace informatique. Malgré la simplicité, les langages de programmation pour les contrats intelligents ont besoin d’un paradigme de développement entièrement différent. Les développeurs n’ont parfois tout simplement pas les compétences de codage nécessaires et commettent des erreurs coûteuses qui entraînent des pertes massives pour les utilisateurs.

Les audits de sécurité ne suppriment que quelques-uns de ce type de risque puisque la plupart des cabinets d’audit du marché ne portent aucune responsabilité sur la qualité de leur travail et ne s’intéressent qu’à l’aspect financier.

Plus de 100 projets ont été piratés à la suite d’erreurs de codage, entraînant un volume total de pertes de près de 500 millions de dollars. Un bon exemple est le piratage dForce qui s’est produit le 19 avril 2021. Les pirates ont réussi à utiliser une vulnérabilité de la norme de jeton ERC-777 avec une attaque de réentrance et ont réussi à voler 25 millions de dollars.

Manipulation des prix, prêts flash et attaques de mineurs

Toutes les informations fournies au contrat intelligent sont tout à fait pertinentes au moment de l’exécution d’une transaction. Notamment, le contrat n’est pas à l’abri d’une éventuelle manipulation externe des informations qu’il contient. Cela rend tout un spectre d’attaques possible.

Les prêts flash sont des prêts sans garantie mais comprennent l’obligation de restituer la crypto-monnaie empruntée dans le cadre d’une transaction similaire. Si l’emprunteur ne restitue pas l’argent emprunté, la transaction est annulée ou annulée. Ces prêts permettent à l’emprunteur d’obtenir d’énormes quantités de cryptos et de les utiliser à leurs fins.

Normalement, les attaques de prêts flash impliquent une manipulation des prix. Un attaquant peut d’abord vendre un grand nombre de jetons empruntés au cours d’une transaction, réduisant ainsi leur prix, puis effectuer un ensemble d’actions à une faible valeur du jeton avant de les racheter.

Une attaque de mineur est un analogue d’une attaque de prêt flash sur des blockchains fonctionnant sur la base de l’algorithme de consensus de preuve de travail. Notamment, ce type d’attaque est plus complexe et coûteux, mais il peut contourner une partie de la protection par la suite des prêts flash. C’est ainsi que cela fonctionne : l’attaquant loue des capacités de minage et des capacités formant un bloc qui a juste les transactions dont ils ont besoin.

Au sein d’un bloc donné, ils peuvent d’abord emprunter des jetons, manipuler les prix puis restituer les jetons empruntés. Étant donné que l’attaquant forme indépendamment les transactions qui sont entrées dans le bloc et leur séquence, l’attaque est normalement atomique comme c’est le cas des prêts flash. Il n’y a pas d’autre transaction qui puisse être « coincée » dans l’attaque.

Ce type d’attaque a été utilisé pour pirater plus de 100 projets, avec des pertes totalisant près d’un milliard de dollars. Le nombre moyen de hacks a augmenté au fil du temps. Début 2021, un vol représentait des centaines de milliers de dollars. À la fin de l’année dernière, les montants avaient grimpé à des dizaines de millions de dollars.

Incompétence du développeur

Le type de risque le plus dangereux est celui qui implique le facteur d’erreur humaine. Les gens ont recours à la finance décentralisée à la recherche d’argent rapide. La plupart des développeurs sont peu qualifiés mais ils s’efforcent toujours de lancer des projets rapidement. Les contrats intelligents sont open source et, par conséquent, ils sont facilement copiés et modifiés à petite échelle par les pirates.

Si le projet d’origine présente les trois premiers types de vulnérabilités, il peut se répercuter sur des centaines de projets clonés. RFI SafeMoon en est un bel exemple puisqu’il contient une vulnérabilité cruciale qui s’est superposée à une centaine de projets, ce qui a conduit à une perte possible de plus de 2 milliards de dollars.