les attaques qui ruinent la fête DeFi

Faits marquants:

Les pirates ont exploité les faiblesses des contrats intelligents dans les protocoles.

Dans la course au lancement de nouveaux projets, la sécurité est restée une tâche en suspens.

Le secteur de la finance décentralisée (DeFi) s’est développé à un rythme rapide en 2020, gagnant en popularité car les utilisateurs peuvent gagner des revenus à haut rendement en peu de temps, ainsi que des prêts rapides. Attirés par le boom des plates-formes qui bloquent des millions de dollars de fonds, les pirates ont également vu DeFi comme une opportunité d’obtenir de gros profits, profitant de certaines vulnérabilités.

Jusqu’à présent en 2020, cinq plates-formes DeFi ont subi des attaques, certaines à plusieurs reprises comme bZx, qui ont généré au moins 30 millions de dollars de pertes. Les attaques révèlent des pirates cherchant à exploiter les faiblesses des contrats intelligents des différents protocoles. Les vulnérabilités se sont glissées dans le parti DeFi. La plupart des protocoles garantissent qu’ils sont dûment audités, mais les différents incidents survenus ont montré des failles importantes, tant dans les contrats que dans la sécurité dans le traitement des jetons.

En peu de temps, l’écosystème a vu émerger des dizaines de nouveaux produits et services. Il s’agit de services financiers que la banque traditionnelle offrait auparavant, mais qui sont désormais assumés par des protocoles ouverts et sans autorisation. La gamme est large: octroyer et recevoir des prêts, change de devises, paiements, liquidité, négociation, investissement, conservation et bien plus encore.

Sans aucun doute, les vulnérabilités de sécurité comme la dernière en bZx réitèrent les commentaires récents du co-fondateur d’Ethereum, Vitalik Buterin, selon lesquels les gens sous-estiment les risques de DeFi.

Les multiples attaques qui ont eu lieu au cours de l’année démontrent que l’écosystème DeFi peut ressembler davantage au Far West, plutôt qu’à la nouvelle frontière du monde de la crypto.

Attaques et faille de sécurité des plateformes DeFi en 2020

bZx subit une troisième attaque

Mois de l’incident: septembre
Plate-forme: protocole de prêt bZx
Les fonds perdus: 8 millions USD

Le cas le plus récent d’une faille de sécurité dans l’écosystème DeFi s’est produit le week-end dernier lorsque des attaquants ont exploité une vulnérabilité dans les contrats intelligents de la plate-forme de prêt bZx. La firme a confirmé la perte d’environ 8 millions de dollars en crypto-monnaies.

Le troisième piratage subi par la plate-forme jusqu’à présent cette année était le résultat d’une erreur qui a permis à l’attaquant de dupliquer les jetons iTokens non pris en charge dans son compte, puis de les supprimer. Remarquant l’exploit, l’équipe bZx a suspendu le processus de duplication iTokens, corrigé le bogue, puis repris les opérations. Cependant, cette dernière attaque est particulièrement frappante, car le protocole a fait l’objet de deux audits qui n’ont pas découvert cette vulnérabilité.

Opyn a été dépouillé de 371000 $

Mois de l’incident: Août
Plate-forme: Protocole de financement Opyn
Les fonds perdus: 371 000 USDC

Le protocole de financement décentralisé Opyn a été dépouillé de 371 000 $ en août dans ce qui était une attaque à double dépense. Les experts ont souligné que, dans ce cas, comme dans beaucoup d’autres qui se sont produits dans l’écosystème DeFi, l’exploit – pas si subtil – devait être détecté au préalable.

La faible sécurité de certains protocoles a permis aux pirates de trouver plus facilement des moyens simples d’extraire des fonds pour leur propre bénéfice. Source: TheDigitalWay / pixabay.com

L’analyse par les chercheurs en sécurité PeckShield à l’époque précisait que le le double des dépenses a eu lieu en raison d’un bug exploité dans le contrat intelligent, qui permettait aux attaquants de piller ouvertement des fonds qui se trouvaient dans les contrats intelligents d’Opyn.

L’équipe de la plateforme a par la suite sollicité l’aide d’un hacker white hat connu sous le nom de “samczsun” pour extraire un total de 572 165 $ des contrats intelligents restants d’Opyn, dans le but d’atténuer les pertes supplémentaires.

450000 $ drainés de DeFi Balancer

Mois de l’incident: Juin
Plate-forme: Équilibreur DeFi
Les fonds perdus: 450 000 USD

Le protocole de market making de Balancer a été victime d’un attaquant en juin dernier qui a drainé 450 000 dollars. L’attaquant a profité d’un exploit facilité par les tokens dits déflationnistes, STA et STONK, pour vider le contenu de deux pools, en seulement deux transactions.

L’attaquant a utilisé 601,3 ETH (environ 134 000 $), 11,36 WBTC (103 000 $), 22593 LINK (102 000 $) et 60 915 SNX (110 000 $). Au total, l’attaquant avait accès à environ 450 000 $.

DEX Aggregator 1inch a déclaré dans son rapport que l’attaquant était «un ingénieur contractuel intelligent très sophistiqué possédant une connaissance et une compréhension approfondies des principaux protocoles DeFi».

L’ETH qui a été utilisé pour mettre en œuvre les contrats intelligents a été mélangé via Tornado Cash pour cacher la source. Balancer a déclaré qu’il ne savait pas que ce type d’attaque spécifique était possible, mais aurait mis en garde contre les effets indésirables des jetons déflationnistes avec des frais de transfert.

L’attaque contre le prêt m’a chargé avec 25 millions de dollars

Mois de l’incident: Avril
Plate-forme: protocole dForce, section Lendf.Me
Les fonds perdus: 25 millions USD

Une partie des prêts instantanés DeFi dForce, Lendf.Me a subi une attaque qui a causé la perte de 25 millions de dollars en crypto-monnaies le 19 avril de cette année. Le vol s’est produit parce que un attaquant a exploité une vulnérabilité de la norme ERC-777 d’Ethereum.

Le pirate a falsifié les registres des contrats de Lendf.Me, leur permettant d’enregistrer des jetons imBTC sans les déposer. ImBTC est un jeton Ethereum lié à Bitcoin qui utilise la norme référencée comme garantie. L’attaquant a profité du fait que les contrats n’avaient pas de gardes de rentrée, ce qui est généralement utilisé pour protéger les contrats de ces attaques.

En bref, l’exploit a exploité une attaque de rentrée via imBTC et son standard de jeton ERC777. La vulnérabilité de rentrée a permis au pirate d’augmenter à plusieurs reprises sa capacité d’emprunter. Ainsi, il a saisi 10 millions ETH, 6,6 millions USDT, 2,2 millions USD de HBTC, 750 milliers USD de USDC, 381 milliers USD de HUSD, 137 milliers USD de DAI, 132 milliers USD de MKR et 126 milliers USD de PAX pour un total de 25 millions de dollars au moment de l’incident.

Le trading sur les plateformes DeFi peut être une expérience à haut risque pour les utilisateurs si le logiciel n’a pas été correctement audité par des spécialistes. Source: Alexas_Fotos / pixabay.com

À la suite de l’attaque, l’équipe de Lendf.Me a été accusée d’avoir copié le code de Compound, recevant des centaines de critiques de la communauté selon laquelle Lendf.Me s’appuyait sur les contrats intelligents originaux Compound V1 qui n’avaient pas de protecteur de réentrée, qui a rendu la plate-forme vulnérable aux actifs pris en charge basés sur la norme de jeton ERC777.

Un attaquant a saisi 360000 $ en ETH d’un prêt flash

Mois de l’incident: février
Plate-forme: plateforme de prêt bZx
Les fonds perdus: 945 000 USD

Le 15 février, il n’a fallu que sept étapes à un attaquant pour obtenir 360 000 $ en ETH grâce à un prêt flash impliquant Fulcrum, Compound, DyDx et Uniswap. Peut-être que dire que la personne a fait sept étapes peut sembler facile, le détail est qu’il devait le faire, le tout en une seule transaction, car c’est ainsi que fonctionnent les prêts flash. L’ensemble de l’opération ne coûte au pirate que 8,71 $ de frais de transaction, car avec ce type de prêt, vous pouvez emprunter un actif sans mettre en place de garantie, à condition que cela se fasse en une seule transaction.

Plutôt que d’exploiter directement un bug via le contrat lui-même, l’attaquant a profité de la complexité croissante de plusieurs protocoles DeFi pour manipuler le système. En ayant accès à une variété de protocoles différents, qui peuvent interagir les uns avec les autres, l’attaquant l’a utilisé pour son propre bénéfice.

En bref, il n’y avait pas de bug de contrat intelligent, mais plutôt une longue série d’opportunités d’arbitrage complexes à travers une multitude de protocoles DeFi, ce qui a permis au pirate de faire des bénéfices.

Quatre jours plus tard, l’attaquant a de nouveau utilisé le même modèle commercial pour obtenir 645 000 $ US supplémentaires. Entre les deux épisodes, le montant volé a atteint 3 581 éthers, soit environ 945 000 $ au moment de l’incident.

Attention à la prochaine attaque

Cette série d’attaques survenues jusqu’à présent cette année montre que le risque dans DeFi n’est pas seulement associé à une aventure financière, mais représente également un risque technique. L’évaluation des vulnérabilités potentielles du logiciel derrière un service ou un produit peut être une condition préalable que les utilisateurs doivent mettre en œuvre en règle générale avant de s’engager avec des protocoles.

Évaluer les avantages et les inconvénients avant de s’engager avec une plate-forme DeFi peut être une mesure qui évite certaines circonstances défavorables à l’avenir. Source: Alexas_Fotos / pixabay.com

Alors que les amis de l’open source et de la décentralisation peuvent faire l’éloge des plates-formes DeFi, l’écosystème pourrait bien avoir besoin de plus de temps pour améliorer sa sécurité et sa convivialité.

Au fur et à mesure que l’industrie progresse sur la voie de la maturation, les utilisateurs doivent garder à l’esprit que les plates-formes DeFi ne sont pas complètement “sans confiance”, pour être conscients que certains projets sont construits sur des bases de code mal auditées, ils sont insuffisamment testés ou utilisent aveuglément des bibliothèques tierces qui introduisent des vecteurs d’attaque.

Il convient également de noter qu’au fur et à mesure que la valeur est stockée dans les protocoles DeFi, les pirates seront plus incités à trouver ces vecteurs d’attaque et à exploiter des bases de code mal auditées. Ne pas devenir la prochaine victime peut être votre plus grand gain.