Les milliards envolés de la finance décentralisée (DeFi) – A qui la faute ?
Elliptic dévoile l’envers du décor – En l’espace d’une dizaine d’années, l’écosystème crypto a transité du simple transfert de valeur à la création d’un système financier décentralisé complexe. L’avènement des smart contracts a permis le développement d’applications financières complexes, englobées sous l’appellation finance décentralisée (DeFi). Malheureusement, tout n’est pas rose dans cet écosystème en permanence ciblé par des hackers malveillants.
La DeFi : un écosystème en plein essor…
Lancée en 2015, la blockchain Ethereum (ETH) vise à ajouter un niveau de complexité aux cryptomonnaies, telles que Bitcoin, en introduisant le concept de smart contract sur les blockchains.
Pour rappel, les smart contracts sont des contrats permettant d’automatiser des actions lorsque des conditions prédéfinies sont réunies. Ces derniers ont permis le développement d’applications décentralisées, dont la complexité a évoluée au cours des années. L’écosystème DeFi compte désormais des centaines d’applications financières, allant des stablecoins aux protocoles de prêt et d’épargne, en passant par les protocoles d’échange décentralisés (DEX).
Au total, l’écosystème DeFi comptabilise plus de 258 milliards de dollars en TVL. À elle seule, la blockchain Ethereum est à l’origine de 65% de cette TVL, avec 170 milliards de dollars.
Par la suite, l’écosystème DeFi s’est développé sur d’autres blockchains qu’Ethereum, telles que la Binance Smart Chain (BSC), Solana (SOL) ou encore Avalanche (AVAX), pour ne citer qu’elles.
…. décentralisé, mais pas forcément sécurisé
Comme nous venons de le voir, les smart contracts ont permis le développement d’applications décentralisées. Ces applications sont dites trustless (ou sans confiance), car elles éliminent le besoin de contrôle des fonds par un intermédiaire. Par conséquent, ces dernières viennent se positionner à l’antithèse de plateformes, telles que les exchanges centralisés, qui ont intégralement le contrôle sur les fonds de leurs utilisateurs.
Malheureusement, cette décentralisation ne fait pas tout. Bien que ces applications soient sans confiance, les contrats qui les composent présentent tout de même de nombreux défauts.
En effet, ce sont des humains qui codent les smart contracts. Par conséquent, ces derniers peuvent comporter des erreurs, des bugs ou diverses failles. Par conséquent, les utilisateurs de la DeFi doivent avoir une entière confiance dans les développeurs des smart contracts pour que ces derniers soient parfaitement sécurisés.
De leur côté, les développeurs ont la possibilité d’ajouter un niveau de sécurité, en faisant auditer leurs applications par des entreprises spécialisées. Malheureusement, cette démarche qui devrait être dans les standards est trop souvent mise de côté par les développeurs.
>> Jouez la sécurité, inscrivez-vous sur la référence des exchanges crypto SwissBorg <<
Les milliards envolés de la DeFi
Si vous suivez de près l’actualité crypto, impossible d’être passé à côté des hacks à répétition de l’écosystème DeFi. En 2021, ce sont ainsi plus de 10,5 milliards de dollars qui ont été dérobés sur des protocoles DeFi, d’après le rapport publié par l’entreprise Elliptic.
À titre de comparaison, les hacks et failles DeFi étaient à l’origine de 1,5 milliard de pertes en 2020, ce qui représente une augmentation de 700 % entre 2020 et 2021.
Évidemment, toutes ces pertes n’ont pas les mêmes origines. En effet, plusieurs types d’attaques peuvent viser les protocoles DeFi et de nouvelles sont découvertes tous les jours.
Les différents types d’attaques
Le rapport publié par Elliptic identifie 2 grandes familles d’attaques :
- Les bugs et les failles ;
- Les failles liées aux clés d’administration.
Les bugs et les failles
Les bugs et les failles présents dans les smart contracts peuvent entraîner 2 types d’attaques.
Dans un premier temps, nous avons les vulnérabilités causées par des erreurs dans le code source des protocoles. Dans ce cas, les attaquants profitent d’une faille présente dans le code sur smart contract pour y effectuer des actions qui devraient normalement être interdites, voire impossibles.
À titre d’exemple, Elliptic prend le cas du protocole vSwap. Celui-ci a enregistré une perte de 11 millions de dollars à cause d’une ligne de code manquante.
« Une analyse post mortem de l’incident a révélé que l’omission d’une seule ligne de code était en cause. Le contrat concerné comprenait une fonction initialize() qui aurait dû être activée après le déploiement. »
Rapport d’Elliptic
Dans un second temps, les protocoles peuvent être ciblés par des attaques dites économiques. Ces attaques visent à altérer le prix d’un actif momentanément pour profiter des conditions économiques de cette altération.
« L’un des types d’exploitation économique les plus courants consiste à manipuler les prix des actifs afin de profiter d’opportunités d’arbitrage sur les services de DeFi qui n’auraient pas existé autrement. »
Rapport d’Elliptic
D’autres paramètres viennent favoriser ce type d’attaque. Par exemple, la nature open source de l’écosystème permet à n’importe qui de forker un protocole pour en créer une copie. Par conséquent, de nombreux protocoles voient le jour en copiant le code d’autres protocoles. Et qui dit copie du code dit copie des bugs qu’ils peuvent potentiellement présenter.
Les failles liées aux clés d’administration
Pour beaucoup, le hacker est l’ennemi numéro 1 de la DeFi. Cependant, dans de nombreux cas, le pire ennemi s’avère être le développeur du protocole lui-même.
En effet, de nombreux protocoles présentent des clés d’administration. En bref, ce sont les clés privées liées au déploiement de l’application décentralisée. Ces dernières peuvent être conservées dans le cas où le protocole présenterait un souci quelconque.
Malheureusement, dans certains cas, les développeurs utilisent ces clés pour mener ce que l’on appelle un rug pull ou un exit scam. Concrètement, le développeur profite de son contrôle sur le smart contract pour siphonner les fonds qui y ont été déposés avant de disparaître dans la nature.
En pratique, la catégorie des bugs et des failles est à l’origine de la grande majorité des attaques avec 10,8 milliards de dollars dérobés depuis 2020.
Ethereum, la reine des hacks
Il n’y a aucun doute, Ethereum est la blockchain reine de la DeFi. Malheureusement, la taille de son écosystème DeFi entraîne un autre titre bien moins honorifique : celui de la blockchain la plus hackée.
En pratique, 71,4 % des hacks DeFi se sont produits sur la blockchain Ethereum. Cela représente un butin total de 8,5 milliards de dollars pour les attaquants. Ethereum est suivi par la Binance Smart Chain avec 21,1 % des hacks.
À qui la faute de ces hacks sur la DeFi ?
De prime abord, nous serions tentés de dire que ces hacks sont des choses qui arrivent, de classiques erreurs humaines. Cependant, la réalité nous raconte une tout autre histoire.
Ces failles sont avant tout la conséquence de l’incompétence et de l’avarice de certains développeurs. En effet, de nombreux protocoles sont déployés sur le mainnet sans le moindre audit digne de ce nom au préalable. Les codes qui sont audités ne le sont pas toujours par des entreprises compétentes. Par conséquent, les utilisateurs se pensent en sécurité, car le protocole a été audité, alors que cet audit est potentiellement passé à côté de nombreuses failles critiques.
Dans la grande majorité des cas de hacks ciblant des protocoles non audités, les développeurs auraient pu faire mener des audits grâce aux bénéfices engendrés par le protocole. Malheureusement, l’appât du gain est plus grand que la volonté de sécuriser le protocole.
Certaines histoires de hacks mettent parfaitement en évidence l’absurdité dont peut faire preuve l’écosystème. C’est notamment le cas du protocole Cream qui a été hacké pas moins de 3 fois en l’espace de 9 mois. Une situation complètement aberrante. Au lieu de mettre le protocole en pause et de réviser intégralement sa sécurité en s’appuyant sur des entreprises spécialisées, les équipes de Cream ont préféré relancer le protocole à 3 reprises, mettant à chaque fois les fonds des utilisateurs en danger.
En parallèle, bon nombre de fondations et de protocoles mettent en place des fonds visant à financer le développement de l’écosystème DeFi. Par exemple, Avalanche a annoncé la création d’un fonds de 200 millions de dollars en novembre dernier. Malheureusement, la sécurité ne semble pas être une priorité pour ces « fonds DeFi ». Plutôt que favoriser le développement et l’attractivité, ces fonds devraient être utilisés pour améliorer la sécurité et mettre en place des standards de sécurités sur les différentes blockchains.
Il n’a jamais été aussi important et urgent qu’actuellement de mieux découvrir, et de s’exposer raisonnablement à Bitcoin et aux cryptomonnaies ! Pour ce faire, le Journal du Coin vous conseille la plateforme SwissBorg. Inscrivez-vous sans attendre sur la plateforme d’exchange crypto de référence SwissBorget tentez de gagner gratuitement jusqu’à 100 euros de crypto !