03 janv. 2022 · 6 min read

Quels sont les outils les plus utilisés pour pirater les protocoles de la DeFi (finance décentralisée) ?

Le secteur de la finance décentralisée se développe à un rythme effréné. Il y a trois ans, la valeur totale bloquée dans la DeFi n'était que de 800 millions de dollars. En février 2021, ce chiffre est passé à 40 milliards de dollars et a atteint en avril 2021 la barre des 80 milliards de dollars. Aujourd'hui, la TVL dépasse les 250 milliards de dollars. 

Source : Adobe

Une croissance aussi rapide ne pouvait qu'attirer l'attention de toutes sortes de pirates et de fraudeurs. En décembre, pas moins de sept protocoles DeFi ont été la cible des pirates. Quelles sont les vecteurs d’attaques les plus communément utilisés par ces derniers ?

Manipulation des oracles

Les oracles de prix sont des services tiers qui permettent aux contrats intelligents de recevoir des données de prix externes à leur écosystème. De nombreux protocoles DeFi ont utilisé des oracles de prix centralisés et ces flux tirent les prix directement des paires d'actifs sur un seul échange décentralisé (DEX) comme Uniswap. 

La manipulation des oracles est une des attaques les plus courantes dans l’espace de la DeFi. La procédure consiste à manipuler les données de prix des actifs sur les exchanges décentralisés (DEX). Si un exchange unique est utilisé comme seule source de prix par une plateforme DeFi, les attaquants peuvent acheter ou vendre un certain actif qui est inférieur ou supérieur au prix équitable du marché sur cette plateforme. 

Les informations fournies au contrat intelligent ne sont en effet pertinentes qu'au moment de l'exécution d'une transaction. Par défaut, le contrat n'est pas à l'abri d'une éventuelle manipulation externe des informations qu'il contient. Cela rend possible toute une série d'attaques.

Manipulation de l'oracle à l'aide de "flash loan"

Le prêt flash est un nouveau type de prêt non garanti développé par le protocole AAVE. Les prêts flash impliquent néanmoins l'obligation de restituer les crypto-actifs empruntés au cours de la même transaction. Ces prêts permettent à l'emprunteur de recevoir de grandes quantités de cryptomonnaies et de les utiliser à ses propres fins. 

Généralement, les attaques grâce aux prêts flash impliquent une manipulation des prix. Un attaquant peut d'abord vendre un grand nombre de jetons empruntés dans le cadre d'une transaction, faisant ainsi baisser leur prix, puis effectuer une série d'actions à une valeur très faible du jeton avant de le racheter. D'autre part, un prêt flash permet aux utilisateurs d'emprunter autant qu'ils le souhaitent avec un capital nul, étant donné qu'ils peuvent rembourser le prêt après avoir réalisé une autre transaction avec les fonds, comme un arbitrage. En raison du faible risque, du faible coût et de la récompense élevée qui les caractérisent, les prêts flash sont fréquemment utilisés par des pirates informatiques malveillants.

Attaque de type “reentrancy” 

C’est l'une des attaques les plus connues auxquelles les développeurs de contrats intelligents ont été confrontés ces dernières années. Par définition, une procédure est réentrante si son "exécution peut être interrompue au milieu, recommencée (re-entrée), et les deux exécutions peuvent se terminer sans qu’une erreur soit détectée par le système visé". Par conséquent, elle place un contrat intelligent dans un "état incohérent" et entraîne des vulnérabilités.

Les contrats intelligents ne sont pas conçus pour envoyer plus d'argent que le montant qu'ils contiennent. Cependant, en exploitant la “réentrancy”, les pirates peuvent effectivement transformer un contrat intelligent en un distributeur automatique de billets mal conçu. 

Les “rug pull”

Un rug pull fait référence à une pratique par laquelle une équipe supprime soudainement toutes ses traces sur les médias sociaux après avoir abandonné un projet et récolté les fonds des investisseurs. Par exemple, l'équipe peut supprimer tout le support d'achat d'un pool de liquidité dans un DEX. Les escrocs ont un contrôle total sur le protocole du projet, ils peuvent donc créer et lister des jetons sans audit, et ont le droit de supprimer la liquidité.

Généralement, les escrocs procèdent en créant un jeton sur un DEX comme Uniswap et Sushiswap et l'associent à une cryptomonnaie de premier plan comme Ethereum. Ils promettent ensuite un rendement annuel en pourcentage (AYP) ridiculement élevé aux investisseurs particuliers. Une fois que les investisseurs ont échangé leur ETH contre le jeton nouvellement créé et que suffisamment de fonds ont été bloqués dans le contrat intelligent, les développeurs peuvent drainer la réserve de liquidités et s'enfuir avec les fonds. La perte soudaine de liquidité entraînera une forte vente du jeton, les détenteurs de jetons voulant sauver leurs bénéfices.

L'importance du facteur humain 

Tous ces risques sont accentués par l’erreur humaine. La plupart des utilisateurs recourent à la DeFi en espérant récolter de l’argent rapide. Les contrats intelligents sont un concept relativement nouveau dans le monde informatique. Malgré leur simplicité, les langages de programmation des contrats intelligents exigent un paradigme de développement complètement différent. Souvent, les développeurs n'ont tout simplement pas les compétences nécessaires en la matière et font des erreurs qui entraînent des pertes importantes pour les utilisateurs. Les contrats intelligents sont open source et donc facilement copiés et modifiés par des pirates informatiques. Si le projet original contient les trois premiers types de vulnérabilités, elles se répercutent sur des centaines de projets clonés. RFI SafeMoon en est un bon exemple, car il contient une vulnérabilité critique qui s'est superposée à une centaine de projets, entraînant des pertes potentielles s'élevant à plus de 2 milliards de dollars.

_______________________

Suivez nos liens d'affiliés:

Pour acheter des cryptomonnaies en Zone SEPA, Europe et citoyens français, visitez Coinhouse 

Pour acheter des cryptomonnaies au Canada, visitez Bitbuy

Pour générer des intérêts grâce à vos bitcoins, allez sur le site de BlockFi

Pour sécuriser ou stocker vos cryptomonnaies, procurez-vous les portefeuilles Ledger ou Trezor

Pour transiger vos cryptos de façon anonyme, installez l'application NordVPN

Pour investir dans le minage ou les masternodes :

Pour accumuler des cryptos en jouant :

  • Au poker sur la plateforme de jeux CoinPoker
  • À un fantasy football mondial sur la plateforme Sorare

________________

Voici les sources d’informations qu’on vous propose:

Notre newsletter hebdomadaire gratuite: https://www.getrevue.co/profile/CryptonewsFR

Twitter: https://twitter.com/cryptonews_FR

Telegram: https://t.me/cryptonews_FR

LinkedIn: https://www.linkedin.com/company/11745115