Les hacks passés à la loupe – ImmuneFi est un protocole spécialisé dans les bugs bounty. Ainsi, il s’associe à d’autres protocoles pour offrir un programme de récompense lorsqu’un utilisateur découvre un bug. Dans un récent rapport, Immunefi a passé au crible l’ensemble des hacks crypto de 2022 pour mieux comprendre leurs origines.
2022 : une année tristement record pour les hacks crypto
Les équipes de ImmuneFi ont récemment publié une étude complète sur les hacks crypto ayant eu lieu en 2022.
Pour rappel, 2022, c’est 3,9 milliards de dollars dérobés dans les cryptos à travers 168 incidents distincts. En pratique, 3,77 milliards ont été perdus dans des piratages et 174 millions de dollars dans les fraudes et autres arnaques.
Ainsi, 2022 a établi un triste record pour l’industrie en étant l’année la plus riche en hacks et arnaques dans l’écosystème crypto.
Toutefois, il semblerait que l’origine de la majorité de ces hacks ne soit pas crypto. En effet, selon le rapport de ImmuneFi, 46% des attaques sont liées à des failles et vulnérabilités dans le Web2. Parmi ces vulnérabilités, nous retrouvons, par exemple, des éléments tels que la fuite de clés privées, les faiblesses des mots de passe ou encore les problèmes avec la double authentification.
« Les développeurs et les chercheurs se concentrent généralement sur la conception et le codage du protocole de contrat intelligent, qui constitue le cœur des projets web3, mais trop souvent, le danger se cache à un niveau inférieur. Il n’est pas surprenant que l’infrastructure en particulier soit la principale différence entre les projets DeFi et CeFi. 11 des 13 exploits du CeFi étaient de nature infrastructurelle. »
Explique le rapport.
Les faiblesses dans les smart contracts
Évidemment, les hacks cryptos n’ont pas uniquement été liés à l’infrastructure en 2022. Ainsi, la crypto a bien sûr été victime de hacks relatifs à des failles ou erreurs dans le code des smart contracts.
À ce titre, ImmuneFi a identifié deux grandes familles de vulnérabilités :
- Conception et logique des contrats intelligents : erreurs cryptographiques, problèmes de configuration des contrats, etc.
- Codage et mise en œuvre des contrats : gestion inappropriée des dépendances externes, appels externes non sécurisés, manque de contrôle d’accès, etc.
| Vulnerability | Cases | Share |
|---|---|---|
| Infrastructure weaknesses | 34 | 26.56% |
| Cryptographic issues | 2 | 1.56% |
| Contract misconfiguration | 7 | 5.47% |
| Unsafe external calls; Usage of pools’ spot prices | 6 | 4.69% |
| Weak/missing access control and/or input validation | 39 | 30.47% |
| Improper handling of external dependencies | 27 | 21.09% |
| Arithmetic overflows, truncations and other errors in calculation | 9 | 7.03% |
| Other | 4 | 3.13% |
| Total | 128 | 100% |
« Les développeurs commettent des erreurs et introduisent bien trop souvent des vulnérabilités dans les contrats intelligents lorsqu’il s’agit du contrôle d’accès, de la validation des entrées et des opérations arithmétiques. Cela représente près de 37,5 % de tous les incidents. Heureusement, leurs dommages en espèces sont faibles (5 % de tous les dommages en espèces). »
De son côté, l’année 2023 aura été un peu plus calme. En effet, depuis le début de l’année, nous avons enregistré un peu plus d’un milliard de dollars de perte, soit 3 fois moins qu’en 2022.
