Rejoignez-Nous sur

Réflexions sur la sécurité DeFi – ConsenSys Media

1*Ukw3M0v13vnYPCcQVgQiwg

News

Réflexions sur la sécurité DeFi – ConsenSys Media

Une plongée en profondeur dans les incidents Uniswap et Lendf.me et ce qu'ils signifient pour l'écosystème DeFi d'Ethereum.

ConsenSys

2020 a été une année critique pour le Écosystème Ethereum DeFi. En plus de célébrer 1 milliard USD bloqués dans DeFi et les jalons importants de la plate-forme, l'industrie a été sujette à de fréquents incidents de sécurité mineurs et majeurs dans les applications DeFi nouvelles et établies. Les événements bZx et Maker de février et mars ont été bien couvert, mais nous avons tiré des données et des informations sur les événements récents sur les protocoles Uniswap et Lendf.me, en particulier autour du compromis de la norme de jeton ERC-777 qui a permis aux pirates de drainer 25 millions de dollars de crypto les 18 et 19 avril.

Le jeton imBTC est un jeton ERC-777 publié par Tokenlon, un DEX fonctionnant sur le protocole 0x. Dans les incidents Uniswap et Lendf.me, le ou les pirates ont exploité une vulnérabilité de réentrance résultant de l'incompatibilité entre la norme de jeton ERC-777 et les protocoles DeFi. D'une manière générale, la vulnérabilité de réentrance a permis au pirate de dépenser essentiellement les dépôts initiaux d'imBTC, leur fournissant effectivement un capital illimité pour effectuer des transactions ou des emprunts.

L'attaque a été rendue possible car Uniswap V1 n'a pas de mesures en place pour se prémunir contre ce type d'attaque de réentrance lors de l'interaction avec la norme ERC-777. Au total, le pirate a récupéré ~ 300k $ USD en imBTC et ETH (~ 141k $ ETH + ~ 160k $ imBTC).

Fait intéressant, ce vecteur d'attaque n'était pas inconnu d'Uniswap ou de la communauté cryptographique dans son ensemble. Presque exactement un an avant l'attaque d'Uniswap, ConsenSys Diligence – le service d'audit de sécurité proposé par ConsenSys – identifiés et publiés le vecteur d'attaque de réentrance ERC-777. Uniswap avait prévu de s'attaquer au vecteur d'attaque, comme indiqué dans leur Article de blog du 23 mars sur les fonctionnalités d'Uniswap V2.

L'incident Lendf.me a exploité la même vulnérabilité de réentrance rendue disponible par la compatibilité incomplète entre le protocole de prêt et la norme de jeton ERC-777, mais à un degré de réussite beaucoup plus étendu. Près de 100% des fonds de Lendf.me – plus de 24 millions USD – ont été drainés lors de l'attaque du 19 avril.

Contrairement à l'événement Uniswap, les fonds volés ne se limitaient pas à l'ETH et à l'imBTC. Bien que la majorité des fonds volés aient été WETH (10,8 millions de dollars), USDT et HBTC ont compensé 9,7 millions de dollars supplémentaires, suivis d'au moins 16 autres jetons. Les graphiques ci-dessous montrent la répartition des actifs des fonds compromis et les volumes de jetons mensuels sur Lendf.me conduisant à l'attaque du 19 avril.

Dans une tournure inattendue des événements, le (s) pirate (s) de Lendf.me ont retourné les fonds volés au protocole, apparemment parce qu'ils accidentellement exposé une adresse IP pendant l'attaque. Le diagramme de Sankey ci-dessous montre le flux de fonds après le piratage. Les fonds ont quitté le contrat Lendf.me (vert), sont passés par le contrat du gestionnaire (gris) et à l'adresse du pirate (noir). Après la révélation de l'IP, le pirate a transféré les fonds à l'adresse d'administration Lendf.me, qui a ensuite transféré les fonds à une adresse de récupération (les deux en violet). L'extrême droite du graphique, où le diagramme se déroule dans de nombreux flux de fonds individuels, marque le moment où Lendf.me fonds retournés aux utilisateurs individuels.

Malgré ces vagues d'incidents de sécurité sur les protocoles DeFi, l'industrie est toujours très majoritairement positif sur les opportunités de DeFi et l'élan qu'il apporte à Ethereum. Objectif Statistiques DeFi soutenir un sentiment positif. En réponse aux événements de sécurité cette année et aux pressions considérables du marché à partir de mars, l'ETH verrouillé a baissé par rapport à son niveau record de février. Cependant, les niveaux n'ont baissé que par rapport aux chiffres de décembre 2019. Ces statistiques, même face à des incidents de sécurité très médiatisés, suggèrent que l'écosystème DeFi dans son ensemble a dépassé un point de «non-retour». Bien que la confiance dans les protocoles individuels ait souffert, l'engagement global envers les paradigmes émergents de la finance décentralisée est resté fort.

Lors de ces incidents de sécurité en 2020, la communauté Ethereum a concentré son attention sur les moyens de prévenir et de réagir aux événements futurs. De manière générale, il y a la proposition de valeur de tous ces hacks survenant sur la technologie ouverte. Sans avoir besoin d'une autorisation ou d'un accès particuliers, des auditeurs de sécurité et des développeurs dapp tiers ont pu analyser librement les incidents, mettre en garde contre d'autres faiblesses et proposer des correctifs pour les futures applications DeFi. Ces incidents révèlent l'éthique coopérative des logiciels ouverts et ouvrent la voie à un écosystème plus sécurisé. En particulier:

Tirer parti de l'ouverture du Ethereum blockchain, une foule d'outils de surveillance liés à DeFi sont à la disposition du public pour interagir avec plus de confiance avec les applications financières. Codefi Inspect est un outil open source pour agréger les informations de sécurité critiques sur les protocoles DeFi, y compris les audits publics, les détails de la clé d'administration, la dépendance Oracle et l'activité en chaîne. Codefi Score DeFi est une valeur du risque de plate-forme qui peut être comparée entre les protocoles pour mieux éclairer les décisions des utilisateurs lors du choix entre les applications DeFi.

Dapps est de plus en plus ouvert sur les failles de sécurité identifiées. Uniswap a reconnu le problème de l'ERC-777 dans son Article de blog de mars 2020. Un développeur du protocole de trading Hegic publié un post-mortem ouvert à propos d'un bug dans son code qui rendait certains fonds inaccessibles. Le protocole d'échange Loopring a identifié une vulnérabilité frontale, a suspendu l'échange, annoncé à la communautéet a travaillé pour résoudre le problème. Ce type de transparence est essentiel pour instaurer la confiance entre les utilisateurs nouveaux et existants et pour développer un réseau plus sécurisé de protocoles DeFi.

L'assurance basée sur la blockchain existe depuis un certain temps, mais a été fortement mise en avant ces derniers mois. Nexus Mutual – un vétéran de l'assurance blockchain – et plus récemment Opyn ont (re) émergé comme les meilleurs acteurs de cette industrie adjacente de DeFi. Des failles de sécurité sont susceptibles d'exister dans tous les domaines technologiques, qu'ils soient émergents ou en place. Plus il existe de mesures de protection parallèlement à ces technologies, plus la voie vers une adoption généralisée est facile.

Abonnez-vous à la newsletter ConsenSys pour plus d'informations et d'analyses sur DeFi.





Traduction de l’article de ConsenSys :
Article Original

BlockBlog

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top