Op-Ed : Les dernières tendances en matière d’attaques de pirates et comment y faire face
Alors que le secteur DeFi continue d’attirer de l’argent et des utilisateurs, les mauvais acteurs du monde entier continuent de le considérer comme une cible attrayante, mûre pour la cueillette et mal protégée.
Au cours des derniers mois, j’ai suivi certains des exploits les plus notables des protocoles DeFi, et au moins sept d’entre eux semblent être le résultat de défauts de contrats intelligents uniquement.
Par exemple, les pirates ont frappé et volé Wormhole, volant plus de 300 millions de dollars, Qubit Finance (80 millions de dollars), Meter (4,4 millions de dollars), Deus (3 millions de dollars), TreasureDAO (plus de 100 NFT) et enfin, Agave et Hundred Finance qui, ensemble , a perdu 11 millions de dollars au total. Toutes ces attaques ont entraîné le vol de sommes d’argent assez importantes, causant des dommages importants aux projets.
De nombreux protocoles ciblés ont vu une dévaluation de leur crypto-monnaie, la méfiance des utilisateurs, des critiques concernant la sécurité de DeFi et des contrats intelligents, et des conséquences négatives similaires.
Quels types d’exploits se sont produits pendant les attaques ?
Naturellement, chacun de ces cas est unique et différents types d’exploits ont été utilisés pour s’attaquer à chaque projet individuel, en fonction de leurs vulnérabilités et de leurs défauts. Les exemples incluent les erreurs de logique, les attaques de réentrance, les attaques de prêt flash avec manipulations de prix, etc. Je pense que c’est le résultat de la complexité croissante des protocoles DeFi, et comme ils le font, la complexité du code rend de plus en plus difficile l’élimination de tous les défauts.
De plus, j’ai remarqué deux choses en analysant chacun de ces incidents. Le premier est que les pirates ont réussi à s’en tirer avec des sommes massives à chaque fois – des millions de dollars en crypto.
Ce « jour de paie » incite les pirates à passer tout le temps nécessaire à étudier les protocoles, même des mois à la fois, car ils savent que la récompense en vaudra la peine. Cela signifie que les pirates sont motivés à passer beaucoup plus de temps à rechercher des failles que les auditeurs.
La deuxième chose qui ressort est que, dans certains cas, les hacks étaient en fait extrêmement simples. Prenons l’exemple de l’attaque Hundred Finance. Le projet a été touché à l’aide d’un bogue bien connu qui peut généralement être trouvé dans les fourches composées si un jeton est ajouté au protocole. Tout ce que le pirate doit faire est d’attendre que l’un de ces jetons soit ajouté au Hundred Finance. Après cela, il suffit de suivre quelques étapes simples pour utiliser l’exploit pour obtenir l’argent.
Que peuvent faire les projets DeFi pour se protéger ?
À l’avenir, la meilleure chose que ces projets puissent faire pour se protéger des mauvais acteurs est de se concentrer sur les audits. Plus ils sont approfondis, mieux c’est, et menés par des professionnels expérimentés qui savent à quoi prêter attention. Mais, il y a une autre chose que les projets peuvent faire, avant même de recourir aux audits, et c’est de s’assurer qu’ils ont une bonne architecture créée par des développeurs responsables.
Ceci est particulièrement important car la plupart des projets de blockchain sont open-source, ce qui signifie que leur code a tendance à être copié et réutilisé. Cela accélère les choses pendant le développement et le code est gratuit.
Le problème est s’il s’avère qu’il est défectueux et qu’il est copié avant que les développeurs d’origine ne découvrent les vulnérabilités et ne les corrigent. Même s’ils annoncent et implémentent le correctif, ceux qui l’ont copié pourraient ne pas voir les nouvelles, et leur code reste vulnérable.
Dans quelle mesure les audits peuvent-ils réellement aider ?
Les contrats intelligents fonctionnent comme des programmes qui s’exécutent sur la technologie blockchain. En tant que tels, il est possible qu’ils soient défectueux et qu’ils contiennent des bogues. Comme je l’ai déjà mentionné, plus le contrat est complexe, plus il y a de chances qu’un ou deux défauts échappent aux vérifications des développeurs.
Malheureusement, il existe de nombreuses situations où il n’y a pas de solution simple pour corriger ces défauts, c’est pourquoi les développeurs doivent prendre leur temps et s’assurer que le code est fait correctement et que les défauts sont repérés immédiatement ou au moins le plus tôt possible.
C’est là que les audits entrent en jeu, car si vous testez le code et documentez l’avancement de son développement et des tests de manière adéquate, vous pouvez vous débarrasser de la majorité des problèmes dès le début.
Bien sûr, même les audits ne peuvent pas fournir une garantie à 100 % qu’il n’y aura pas de problèmes avec le code. Personne ne peut. Ce n’est pas par hasard que les pirates ont besoin de mois pour découvrir la plus petite vulnérabilité qu’ils peuvent utiliser à leur avantage – vous ne pouvez pas créer le code parfait et le rendre utile, surtout pas lorsqu’il s’agit de nouvelles technologies.
Les audits réduisent le nombre de problèmes, mais le vrai problème est que de nombreux projets touchés par les pirates n’ont même pas été audités du tout.
Ainsi, pour tous les développeurs et propriétaires de projets qui sont encore dans le processus de développement, rappelez-vous que la sécurité ne vient pas de la réussite d’un audit. Cependant, cela commence certainement là. Travaillez sur votre code ; assurez-vous qu’il a une architecture bien conçue et que des développeurs habiles et diligents y travaillent.
Assurez-vous que tout est testé et bien documenté, et utilisez toutes les ressources à votre disposition. Les primes de bogue, par exemple, sont un excellent moyen de faire vérifier votre code par des personnes du point de vue des pirates, et une nouvelle perspective de quelqu’un qui cherche un moyen d’entrer peut être inestimable pour sécuriser votre projet.
Le post Op-Ed : Les dernières tendances en matière d’attaques de pirates et comment les gérer sont apparues en premier sur CryptoSlate.