Rejoignez-Nous sur

Les mauvaises pratiques de la Finance Décentralisée (DeFi) – TheCoinTribune

shutterstock 1625966278 1

News

Les mauvaises pratiques de la Finance Décentralisée (DeFi) – TheCoinTribune

shutterstock 1625966278 1

Les hacks font-ils bouger les lignes en matière de cybersécurité dans la cryptosphère en général, chez les crypto-exchanges et les plateformes DeFi en particulier ? Une réponse ferme : plus au pas de tortue qu’à celui du lièvre. On ne reviendra plus sur le nombre d’exchanges piratés, tous les ans. Une faille supposée, présentée comme associée au standard Ethereum ERC-777, aurait permis un hack à 25 millions de dollars. « Aurait » car, en creusant un peu, la vérité est ailleurs : les pirates ont utilisé une « vieille » technique de hacking qui avait déjà fait ses preuves. En toile de fonds, c’est plus vers les mauvaises pratiques de la Finance Décentralisée (DeFi) qu’il convient probablement de se tourner.

Le résumé

2 cyberattaques simultanées ont visé les plateformes Lendf.me et Uniswap. Bilan : près de 25 millions de dollars sont partis dans les coffres des pirates. En cause : le token imBTCune version tokénisée du Bitcoin (BTC) – supporté par les deux plateformes.

Le token imBTC est construit sur le standard ERC-777 ; ce dernier a été développé par l’entreprise Tokenlon.

Tokenlon ERC 777

On rappellera que le standard le plus courant utilisé sur Ethereum (ETH) pour la création de jetons/token est la norme ERC-20 : le premier standard du token ETH, comporte 6 fonctions. L’ERC-20 a été proposé par Vitalik Buterin lui-même.

L’ERC-777 fait partie des standards post-ERC 20, avec pour ambition de pallier aux bugs et aux erreurs logiques constatées sur l’ERC-20. L’ERC-777 est rétro-compatible avec toutes les applications fonctionnant sous ERC-20.

Pendant le procès de l’ERC-777, la DeFi court toujours

Outre cette perte à 8 chiffres, cette attaque a d’abord remis en cause l’intégrité du standard ERC-777. Cependant, un examen plus minutieux du déroulement de l’attaque, permet de mettre l’ERC-777 hors de cause.

En effet, la faille provient en réalité plutôt d’une vulnérabilité liée à une caractéristique des contrats intelligents, la “Reentrancy”, qui permet la multiple exécution de certaines requêtes : lors de ces 2 cyberattaques, les hackers ont pu procéder au retrait des fonds avant la mise à jour du solde du portefeuille.

Cette faille n’est pas vraiment nouvelle : c’est même elle qui est à l’origine de el famoso piratage historique du projet The DAO qui a conduit au fork Ethereum – Ethereum Classic de 2016.

Apparemment, les acteurs concernés n’ont pas retenu la leçon. La même vulnérabilité avait déjà été identifiée sur la plateforme Uniswap plusieurs mois auparavant, lors d’un audit effectué par la société ConsenSys. Les détails de cet audit avaient été révélés au grand public.

Non coupable mais, pas acquitté pour autant

Malheureusement, bien qu’une analyse approfondie du déroulement des hacks ait innocenté l’ERC-777 en tant que standard, il s’agit typiquement du genre de piratage qui dans l’esprit du grand public, 0peut ternir l’image même des tokens utilisant ce standard.

Le directeur technique de PieDAO, Dan Matthews, s’inquiète ainsi des répercussions négatives sur l’image de ces tokens, un frein éventuel à leur adoption par les utilisateurs. Une telle conséquence serait regrettable selon lui : intrinsèquement, les standards des tokens ERC-777, ne sont pas vulnérables aux attaques de reentrancy .

C’est lorsqu’ils sont associés à d’autres protocoles présents sur certaines plateformes, que les failles surgissent : certaines fonctions de l’ERC-777 peuvent alors être activées, comme la fonction de transfert.

L’ERC-777 possède des avantages indéniables : le standard permet d’améliorer l’interaction des tokens avec les contrats intelligents, pour une meilleure efficacité des transactions.

Pub

Generic DESKTOP Banner v2.svg

Il dispose également de fonctionnalités qui permettent de réduire les risques de pertes accidentelles de cryptomonnaies.

Le rôle des plateformes DeFi mis en cause

En revanche, si ERC-777 étant techniquement innocenté, la responsabilité pourrait plus revenir aux plateformes de finance décentralisée, qui sont désormais – et, pas pour les meilleures raisonssous les feux des projecteurs.

La plupart d’entre elles affirment avoir pris des mesures pour se protéger de ce type de hack : Balancer Labs affirme disposer d’un mécanisme de protection contre cette faille ; du côté d’Uniswap, la version 2 de la plateforme aurait également résolu ce problème.

En revanche, l’équipe de Bancor, tristement célèbre pour être plus laxiste au niveau de la sécurité de leurs codes, semble se sentir peu concernée par le sujet.

Bancor

Effet collatéral, les attaques ont remis sur le tapis, le scandale de plagiat au centre duquel se trouvait le groupe DForce, quelques mois auparavant.

Le PDG de la société Compound, Robert Leshner, a en effet profité de cette occasion pour remettre les points sur les i et critiquer les responsables de la fondation DForce : un tweet de Leshner révèle en effet que DForce aurait fait un simple « copier-coller » – plus classe que « voler » – du code développé par Compound, sans prendre la peine de renforcer les mesures de sécurité autour des procédures déployées sur leurs plateformes.

Les détenteurs de tokens ERC-777 ont été invités à retirer leurs actifs d’Uniswap, une tâche loin d’être évidente pour les personnes qui disposent de connaissances techniques limitées : la plupart ne savent même pas différencier l’ERC-777 de l’ERC-20.

En effet, pour vérifier le standard utilisé par un token, un utilisateur doit parfois consulter le répertoire Github de l’émetteur.

C’est ce type de constatation qui a conduit Dan Matthews à déclarer, qu’il appartenait aux professionnels du secteur d’identifier ces risques et, d’agir de manière proactive lorsque les utilisateurs non-avertis ne tiennent pas compte des recommandations.

Une fin « heureuse »

Apparemment, les pirates ont été plus doués pour identifier et exploiter une faille, plutôt que pour effacer leurs traces.

L’adresse IP des hackers ayant été identifiée, ces derniers ont été incités à rendre « gentiment » les fonds volés.

Des rapports d’audit de sécurité révélés au grand public incitent à considérer plus sérieusement, les rôles des plateformes DeFi à redéfinir, un coup de pied aux fesses à donner aux équipes de sécurité laxistes : les axes d’amélioration en matière de politique sécurité, sont clairs. Mais ce qui est clair, sera-t-il forcément appliqué ?

Pub

CryptoMBA DESKTOP Banner4



Retrouver l’article original de Zoe De la Roche ici: Lien Source

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top