Rejoignez-Nous sur

Les plates-formes DeFi sont «aussi sûres que le code qu'elles ont»: analyse

Crypto

News

Les plates-formes DeFi sont «aussi sûres que le code qu'elles ont»: analyse

La discussion autour Les plateformes DeFi sont arrivées au centre du monde des crypto-monnaies tout au long de 2019 et jusqu'en 2020. Une vague de nouvelles applications a été construite au-dessus du réseau Ethereum; d'autres réseaux ont également été créés spécifiquement pour héberger des applications DeFi.

Le public le plus diversifié à ce jour au FMLS 2020 – Où la finance rencontre l'innovation

Pour beaucoup, DeFi représentait (et représente) une évolution naturelle des promesses de Bitcoin: des plateformes financières décentralisées offrant toutes sortes de services financiers qui étaient auparavant limités au secteur bancaire traditionnel: octroi et réception de prêts, change, paiements – la liste continue.

Le concept de DeFi était et est particulièrement attrayant pour le monde des crypto-monnaies en raison du manque de contrôles KYC sur les plateformes DeFi: le rêve de DeFi représente l'opportunité de fournir des services financiers aux non bancarisés et de permettre à quiconque souhaite opérer en dehors du compétence des régulateurs financiers la liberté de le faire.

Cependant, aussi idéalistes que puissent être les rêves d'un avenir compatible avec DeFi, il y a eu de très grosses bosses le long de la route.

L'exploitation de dForce est le dernier exemple d'un modèle continu de vulnérabilités

L’un des principaux arguments de vente de DeFi est l’idée que les plates-formes DeFi sont extrêmement sécurisées: parce qu’elles ne sont pas centralisées et ne dépendent d’aucun tiers pour fonctionner, elles devraient être extrêmement sécurisées; cependant, en réalité, cela n'a pas toujours été le cas.

En effet, il y a eu plusieurs cas dans l'histoire récente qui ont révélé que bien que les plates-formes DeFi ne soient pas à risque de violation de la sécurité de la même manière que les plates-formes centralisées, elles ne sont certainement pas complètement à l'abri des dommages.

Le cas le plus récent d'une faille de sécurité sur une plate-forme DeFi a eu lieu plus tôt cette semaine, lorsque Lendf.me, un sous-groupe de la dForce La plateforme DeFi, a été exploitée à hauteur de 25 millions de dollars.

Dans ce cas particulier – comme dans la plupart (sinon la totalité) des autres hacks DeFi qui ont eu lieu au cours de l'année dernière – les fonds ont pu être retirés de la plateforme en raison d'une vulnérabilité dans le logiciel de la plateforme.

Plus précisément, «la principale cause (était) un exploit dans la norme ERC-777 et le protocole dForce», a expliqué Jose Llisterri, chef de produit et co-fondateur de l'échange de dérivés de crypto-monnaie Interdax.

joselliterri
Cofondateur et chef de produit d'Interdax, Jose Llisterri.

«Connue comme une attaque de rentrée, elle a permis au pirate de fournir et de retirer un solde à plusieurs reprises dans un jeton ERC-777 appelé« imBTC »en utilisant son mécanisme de rappel avant la mise à jour du solde;» en d'autres termes, «le pirate a manipulé les livres comptables des contrats Lendf.Me, ce qui leur a permis d'enregistrer des jetons imBTC sans les déposer».

En utilisant cette stratégie particulière, le pirate a réussi à s'en sortir avec 25 millions de dollars de diverses crypto-monnaies. Dans une tournure des événements bizarre, le pirate a finalement rendu les fonds volés, mais l'incident a tout de même provoqué un bouleversement.

Llisterri a expliqué que «les contrats Lendf.me n'avaient pas de gardes de rentrée, ce qui est généralement utilisé pour protéger les contrats contre ces attaques.»

Un manque de protection autour des attaques de rentrée a permis à l'exploitation de se produire

Ce n'est pas la première fois qu'une plate-forme non surveillée est victime d'une attaque de rentrée: «l'exécution du hack Lendf.me était également similaire à l'exploit DAO en juin 2016, où les deux étaient basés sur des attaques de rentrée, »A déclaré Llisteri.

Pourquoi ces protections n'étaient-elles pas en place dans le protocole de dForce? Llisteri a expliqué que «dForce a apparemment tiré son code d'un contrat intelligent Uniswap qui avait une vulnérabilité connue et qui est détaillé dans un audit ConsenSys en 2019.»

Anton Mozgovoy, directeur technique de la fintech Humaniq, a expliqué à Magnates des finances qu'il y a d'autres problèmes avec le protocole de dForce: spécifiquement, "Lendf.me a été accusé de copier le code de Compound", une autre plate-forme DeFi, "qui peut être un indicateur de la qualité des processus de développement" – en d'autres termes, le les développeurs qui ont construit le protocole n'ont peut-être pas fait preuve de diligence raisonnable.

mozgovoy
Anton Mozgovoy, directeur technique de la fintech Humaniq.

"Les plates-formes DeFi ne sont aussi sûres que le code dont elles disposent."

Cependant, le code volé ou non, les attaques de ré-entrée et d'autres types d'exploitation des plateformes DeFi deviennent de plus en plus fréquents: «nous avons vu comment les vulnérabilités au niveau du protocole peuvent affecter les risques de sécurité sur les plateformes décentralisées, avec des exemples tels que l'exploit bZx en janvier 2020, ainsi que Bisq et Lendf.me plus récemment », a expliqué Jose Llisterri.

Cela met en évidence un problème plus important concernant les plateformes DeFi de manière plus générale: «il n'y a pas de processus d'assurance qualité, comme les applications logicielles non blockchain», a expliqué Anton Mozgovoy. "Votre code doit être correct à 100% avant de le déployer, sinon il devient vulnérable."

En d'autres termes, "les plates-formes DeFi ne sont aussi sûres que le code dont elles disposent."

Par conséquent, selon Kadan Stadelmann, directeur technique de Komodo, il est essentiel que les plates-formes DeFi prennent autant de mesures que possible pour garantir que leurs plates-formes n'ont pas de vulnérabilités exploitables. "Les plates-formes DeFi ne devraient offrir aucune sorte de surface d'attaque centrale", a-t-il déclaré.

KadanStadelmann
Kadan Stadelmann, directeur technique de Komodo.

«En n'offrant aucun point d'attaque central, les pirates ne peuvent cibler que des nœuds spécifiques et des participants au réseau», a expliqué Stadelmann. En d'autres termes, «leur attaque serait dirigée contre un seul individu plutôt que directement contre l'ensemble de la plateforme DeFi».

«Par exemple, dans un réseau vraiment décentralisé, si un utilisateur a une vulnérabilité de sécurité sur son smartphone et qu'un pirate parvient à attaquer ce smartphone, les autres smartphones du réseau ne seraient pas compromis.»

DeFi est «un énorme pari technologique qui doit être poli».

Cependant, cela peut être plus facile à dire qu'à faire – après tout, DeFi en est encore à ses débuts; la crypto-monnaie entière industrie est encore à ses débuts.

Par conséquent, alors que de nombreux fanatiques de l'open source et de la décentralisation peuvent chanter les louanges des plateformes DeFi, il se pourrait bien que l'écosystème ait besoin de temps pour rattraper ses homologues centralisés en termes de sécurité et de convivialité: en effet, «  certains écosystèmes dans leur ensemble ( tels que DeFi) sont un énorme pari technologique qui a besoin d'être poli, tandis que les plates-formes centralisées sont généralement construites avec des solutions éprouvées au combat », a déclaré Jose Llisterri à Finance Magnates.

En effet, «les plates-formes centralisées varient dans leurs mesures de sécurité mais sont principalement basées sur des systèmes éprouvés utilisés par de grandes sociétés financières», a déclaré Llisterri.

«La plupart des hacks des échanges centralisés sont dus à la sécurité laxiste autour des portefeuilles chauds (la multi-signature blindée résout ce problème) ou à des problèmes internes tels que le détournement de fonds.»

Articles suggérés

FBS organise un événement caritatif pour fournir des fournitures médicales en IndonésieAller à l'article >>

Les plates-formes DeFi ne sont pas complètement «sans confiance»

Bien sûr, "il y a un élément de confiance lié à une plate-forme centralisée, car ils prennent la garde de vos actifs et c'est pourquoi les utilisateurs de crypto-monnaie devraient toujours faire leurs recherches sur les plates-formes qu'ils utilisent", a poursuivi Llisteri.

Mais «il y a aussi un élément de confiance avec les plateformes décentralisées (sauf si vous êtes compétent en lecture du code des contrats intelligents)».

"Bien que les utilisateurs n'aient pas à faire confiance à la plate-forme en ce qui concerne la garde de leurs actifs, il existe un élément de confiance en ce qu'il n'y a aucune vulnérabilité qui pourrait ouvrir la plate-forme à une attaque", a-t-il déclaré. "Vous devez vous assurer que leur base de code ne présente aucune vulnérabilité ou si les bibliothèques tierces utilisées ouvrent des vecteurs d'attaque."

«Étant donné que les échanges centralisés et les plates-formes centralisées existent depuis plus longtemps, il y a plus de possibilités d'améliorer la sécurité alors que DeFi en est encore à ses débuts et suivra le même processus. Ces exploits offrent la possibilité de tirer des leçons des erreurs et de rendre DeFi plus sûr pour empêcher plus d'attaques à l'avenir. »

Comment les utilisateurs peuvent-ils savoir si une plate-forme DeFi est sûre?

Cependant, comment les utilisateurs peuvent-ils être en sécurité?

Tout se résume à comprendre: «wow les utilisateurs interagissent avec les plates-formes DeFi et les plates-formes centralisées est très différent», a déclaré Llisteri.

«Les utilisateurs interagissent avec les applications décentralisées (ou DApp) pour accéder aux services DeFi, qui sont connectés à leurs portefeuilles cryptographiques. Lorsqu'un utilisateur connecte son portefeuille à un DApp, l'utilisateur est invité à approuver l'accès à ses jetons, permettant au DApp d'interagir avec le portefeuille. »

«Le problème de sécurité ici est que la plupart des utilisateurs de DApps accordent l'accès à tous leurs avoirs dans ce jeton. Donc, si un DApp est vulnérable ou malveillant pour commencer, les attaquants peuvent abuser de ces privilèges pour voler tous les avoirs de l'utilisateur sans leur consentement », a-t-il expliqué.

Par conséquent, les utilisateurs pourraient prendre des précautions telles que la tenue de portefeuilles séparés qui interagissent avec des plates-formes distinctes: idéalement, alors, une plate-forme DeFi compromise n'aurait pas accès à tout des fonds des utilisateurs.

Des précautions similaires peuvent être prises lors de l'interaction avec des plates-formes centralisées, bien que les plates-formes centralisées n'aient généralement pas accès aux fonds des utilisateurs de la même manière: «sur les plates-formes centralisées, le fournisseur contrôle vos actifs pour vous et prend des mesures en votre nom, c'est-à-dire vous dire à la bourse d'acheter ou de vendre du bitcoin », a déclaré Llisterri. «Dans ce cas, la sécurité de la plateforme et la crédibilité de l'équipe sont les risques majeurs.»

Le simple fait est que «certaines plates-formes DeFi sont construites sur des bases de code mal auditées et insuffisamment testées ou utilisent aveuglément des bibliothèques tierces qui introduisent des vecteurs d'attaque».

"Comme plus de valeur est stockée dans les protocoles DeFi, les pirates seront davantage incités à trouver ces vecteurs d'attaque et à exploiter des bases de code mal auditées."

Les plateformes DeFi ne sont pas assurées

Il s'agit d'un problème grave: l'utilisateur moyen d'une plate-forme DeFi n'a probablement pas de méthode fiable pour vérifier la sécurité des plates-formes DeFi et des applications avec lesquelles il interagit.

Ceci est particulièrement important à prendre en compte du fait que «les plates-formes DeFi sont non privatives de liberté et non réglementées», a expliqué Anton Mozgovoy.

"Cela signifie que si une banque réglementée fait face à une perte de fonds en raison de l'attaque, les propriétaires seront remboursés par le gouvernement et les compagnies d'assurance." De plus, «les plates-formes DeFi n'ont généralement pas de pool d'assurance et peuvent exposer un risque plus important aux parties prenantes.»

Alors, comment les utilisateurs peuvent-ils être sûrs que la plate-forme DeFi avec laquelle ils interagissent est sûre? D'une part, des audits tiers fiables du logiciel de la plateforme sont indispensables: après tout, les projets DeFi "sont publics et donc leur code est auditable", a déclaré Itay Malinger, directeur général de Curv, à Magnates des finances.

itay
Itay Malinger, directeur général de la société de garde Curv.

En effet, Kadan Stadelmann a ajouté que "la recherche de savoir si la plate-forme DeFi que vous utilisez est vraiment décentralisée est la clé."

Les utilisateurs peuvent également prendre des précautions individuelles pour sécuriser leur propre fin de choses: «il est également important de s'assurer que l'appareil que vous utilisez (smartphone, ordinateur) est connecté à un réseau sécurisé afin d'éviter la possibilité de toute sorte de piratage », A déclaré Stadelmann.

Alors que l'écosystème DeFi se développe encore, la centralisation peut être un pari plus sûr

Cependant, si vous n'êtes pas sûr de la sécurité d'une plate-forme DeFi, il peut être préférable de recourir à une plate-forme centralisée de confiance.

«Les plates-formes décentralisées ont des avantages et des inconvénients, mais dans certains cas, les plates-formes centralisées comme les échanges sont meilleures car elles fournissent ce que les utilisateurs veulent vraiment: une plate-forme simple à utiliser qui est évolutive et qui a un volume et une liquidité importants», a expliqué Jose Llisterri.

D'un autre côté, cependant, DeFi peut fournir un niveau d'auto-souveraineté et d'accessibilité qui est impossible sur leurs homologues centralisés.

"Les plates-formes décentralisées, tout en offrant une expérience utilisateur maladroite et étant relativement peu liquides, mettent le pouvoir entre les mains des individus." Dit Llisterri. «En offrant une alternative à la finance traditionnelle, les plateformes décentralisées aident les gens à résister à la censure financière et à reconquérir leur souveraineté monétaire.»

Que pensez-vous de la sécurité des plateformes DeFi? Faites-le nous savoir dans les commentaires ci-dessous.





Traduction de l’article de Rachel McIntosh : Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top