Les récents et coûteux revers de DeFi servent de leçons pour le secteur

Le «hack» du DAO est profondément ancré dans la mémoire collective de la communauté des crypto-monnaies. Après un financement participatif extrêmement réussi en mai 2016, le DAO a duré un peu plus d’un mois avant qu’un attaquant ne commence à drainer des fonds du contrat intelligent, prenant environ 70 millions de dollars d’Ether (ETH)..

Cependant, comme certains l’ont souligné à l’époque, l’incident DAO n’était pas du tout un piratage. L’attaquant a simplement exploité une vulnérabilité dans le code du contrat intelligent sous-jacent pour le faire se comporter d’une manière que les programmeurs ne s’attendaient pas. Néanmoins, l’incident a divisé la communauté Ethereum après la décision de mettre en œuvre un hard fork qui rendrait les fonds..

Avance rapide jusqu’au début de 2020, et il y avait plus d’un milliard de dollars de crypto liés à la finance décentralisée. C’est 1 milliard de dollars sous la gestion des contrats intelligents. Ainsi, à la lumière de l’histoire, il était peut-être inévitable que quelqu’un finisse par trouver des moyens de faire fonctionner ces applications d’une manière que personne n’avait anticipée. La première est survenue en février 2020, avec deux attaques distinctes sur la plate-forme de négociation décentralisée bZx. Plus récemment, un hacker s’est emparé de 25 millions de dollars de la plateforme de prêt chinoise Lendf.me, exploitée par dForce.

Même lorsque les pirates ne sont pas impliqués, les applications DeFi ont montré d’autres vulnérabilités. Au cours du «jeudi noir» de la crypto à la mi-mars, MakerDAO a liquidé plus de 4 millions de dollars de prêts alors que le prix de l’ETH a chuté. Le krach a donné lieu à un vote rapide sur la gouvernance et à une vente aux enchères de la dette pour remédier aux dommages.

Une grande partie des commentaires s’est concentrée sur la question de savoir si DeFi peut ou non se remettre de ces revers. Sur la base de l’historique de l’incident de DAO, il semble inévitable que DeFi fasse une récupération. La question la plus pertinente est peut-être la suivante: que peuvent apprendre les opérateurs DeFi DApp de tels incidents pour éviter qu’ils ne se produisent à l’avenir??

Gains faciles de dForce

L’incident le plus récent impliquant le hack Lendf.me offre des gains faciles. La plate-forme est la plus grande DApp de prêt de Chine. Cependant, il s’avère que le piratage a été effectué à la suite de la copie de code par dForce d’une version antérieure de Compound, une autre application de prêt décentralisée. L’ancien code de Compound n’était pas en mesure de se prémunir contre le type d’attaque appelé «réentrance» spécifiquement pour les jetons ERC-777.

En raison de ce problème, Compound ne prend pas en charge les jetons ERC-777. Cependant, il semble que lorsque dForce a copié le code, il n’a pas vraiment compris cette vulnérabilité, car il n’a pas mis les mêmes mesures en place, permettant aux jetons ERC-777 d’être utilisés sur Lendf.me. Par conséquent, l’attaquant a exploité la vulnérabilité en utilisant le jeton imBTC ERC-777 pour drainer 25 millions de dollars de la plate-forme..

Le pirate informatique a depuis restitué les fonds, mais ce n’est guère une défense en soi. Tel que rapporté par Cointelegraph, dForce a été critiqué pour ne pas avoir pris de mesures suffisantes pour empêcher une telle attaque. Donc, si en supposant que dForce ne connaissait tout simplement pas le problème, comment auraient-ils pu l’éviter? Alex Melikhov, PDG et co-fondateur d’Equilibrium – émetteur du stablecoin EOSDT basé sur EOS – est un grand fan de l’idée des peer reviews. Il a déclaré à Cointelegraph qu’une “révision du code par un tiers aurait pu empêcher l’incident”, ajoutant:

«Un aspect important ici est la construction d’un cadre de test et d’audits de code. Le principe des quatre yeux est parfaitement applicable au développement de code et atténue certainement les risques de vulnérabilité. Malgré le partenariat de dForce avec PeckShield (qui a audité publiquement son USDx et son protocole d’amélioration du rendement), il semble que les auditeurs n’aient pas examiné le code de son protocole de prêt LendfMe. »

Dan Schatt, PDG et co-fondateur de la plate-forme de prêt centralisée Cred, est d’accord, suggérant même que la communauté pourrait jouer un rôle ici. Il a déclaré à Cointelegraph: «Les primes de bogues peuvent aider à inciter la communauté à rechercher le type de vulnérabilités qui peuvent conduire à des attaques et à une exploitation de ces types de vulnérabilités.»

Au moment de la publication, dForce avait confirmé que 100% des utilisateurs affectés par l’attaque avaient été remboursés via son effort de redistribution d’actifs. De son côté, dForce a répondu à la demande de commentaires de Cointelegraph. Mindao Yang, fondateur de dForce, a déclaré qu’après réflexion:

«Une attaque similaire a eu lieu contre le piratage du pool Uniswap / imBTC avant l’incident [Lendf.me]. La vulnérabilité Uniswap, liée au token ERC777, était connue depuis fin 2018, mais la combinaison du token ERC777 et du code Compound V1 introduisant une surface d’attaque de réentrance n’a été portée à notre attention qu’après l’incident. Nous aurions pu être plus vigilants lorsque le piratage du pool Uniswap / imBTC s’est produit et nous aurions pu être plus prudents lors de l’intégration de nouveaux actifs. »

Yang a poursuivi en disant que la plate-forme prévoyait d’éviter des attaques similaires et intégrera à l’avenir des experts externes:

«Nous engagerons des consultants en sécurité tiers de premier ordre pour nous assister dans un audit complet et pour nous aider à renforcer nos futures pratiques de sécurité. Nous trouverons le bon moment pour redéployer un nouveau protocole de marché monétaire décentralisé et d’autres protocoles. À l’avenir, avec leur aide, nous allons introduire un processus d’intégration rigoureux et audité lors de l’introduction d’actifs dans l’écosystème dForce. »

Le porte-parole a confirmé que de plus amples détails sur les mesures prises à cet égard seront partagés dans un prochain article de blog.

BZx – un problème plus compliqué

Avant le récent incident de dForce, la plateforme de trading DeFi bZx a été touchée deux fois en l’espace d’une semaine. Ces attaques étaient moins dues au code bogué qu’à l’immaturité et à la liquidité relativement faible de l’espace de crypto-monnaie dans son ensemble. Les échanges de produits dérivés – qu’ils soient centralisés ou décentralisés – reposent sur des oracles de prix. Ceux-ci sont généralement prélevés sur les marchés au comptant, en utilisant un prix moyen de plusieurs bourses.

Dans le cas des plates-formes DeFi, le flux de prix provient d’échanges décentralisés tels que Uniswap et Kyber. Le problème est qu’en raison de la faible liquidité de certains jetons sur ces plates-formes, il est relativement facile de manipuler le prix..

En relation: Les attaques de prêt flash BZx signalent-elles la fin de DeFi?

BZx a bien géré l’incident, couvrant 900 000 dollars de pertes d’utilisateurs grâce à un fonds d’assurance. Les chercheurs de Deribit Su Zhu et Hasu ont déjà expliqué comment les oracles de prix sont vulnérables à la manipulation, même sur des échanges centralisés tels que BitMEX. Dans DeFi, où les échanges décentralisés sont utilisés pour les données d’oracle de prix, on pourrait dire que cet accident était sur les cartes.

Cependant, cela présente une énigme intrigante – la seule façon de résoudre le défi est d’amener plus d’utilisateurs à injecter des liquidités dans les DEX afin d’atténuer la vulnérabilité à la manipulation. Cependant, tant qu’il y a un risque que les fonds puissent être drainés, DeFi aura du mal à attirer les utilisateurs..

La principale vulnérabilité

Enfin, en ce qui concerne le récent événement du jeudi noir, qui a provoqué des liquidations massives sur MakerDAO: Même si la chute des prix était complètement indépendante de la volonté de Maker, y a-t-il des leçons à en tirer?

Le krach de mars et les liquidations qui ont suivi ont abouti à un vote pour modifier les paramètres des enchères du Maker et introduire l’USDC, un type d’actif collatéral non corrélé avec le marché de la cryptographie. Les détracteurs de DeFi se moqueront sans aucun doute de l’ironie d’un stablecoin soutenu par crypto devant être garanti par un équivalent centralisé.

Cependant, l’introduction de l’USDC par Maker montre peut-être une certaine maturité dans la reconnaissance par la communauté du fait que le jeune âge du marché DeFi signifie qu’elle doit suivre l’exemple de ses homologues relativement stables et centralisés jusqu’à ce qu’elle puisse voler de ses propres ailes. Après tout, le fondateur de Maker, Rune Christensen, a récemment déclaré à Cointelegraph dans une interview qu’il pensait que DeFi finira par fusionner avec CeFi, illustrant que peut-être l’utilisation de l’USDC par Maker est un prédicteur précoce de cette décision.

Après avoir atteint le cap du milliard de dollars cette année, il s’agit de savoir quand (plutôt que si) DeFi se remettra de ces revers et récupérera ce chiffre une fois de plus. Cependant, le fait que ces revers aient eu lieu montre que les fondateurs de DeFi ne devraient pas se concentrer sur le chemin parcouru par le secteur, mais plutôt sur le chemin qu’il reste à parcourir. En tirant les leçons des incidents récents, il y a une chance de récupération plus rapide.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map