mardi, 16 août 2022

DeFi miné par la centralisation et les failles du code

Une entreprise de sécurité souligne l’importance de la cybersécurité dans les projets de cryptographie

Dan Gunderman (dangun127) –
12 janvier 2022 Une capture d’écran du rapport de CertiK État de la sécurité DeFi 2021

Au milieu d’une augmentation des investissements financiers dans les crypto-monnaies – en particulier dans le cadre du financement décentralisé, ou DeFi – les spécialistes de la avertissent que la sécurité laxiste, composée de « risques de centralisation » et d’autres points faibles du code, était un principal facteur de 1,3 milliard de dollars de crypto-actifs perdus à cause de piratages, d’exploits et d’escroqueries en 2021. Les pertes, selon la société de sécurité blockchain CertiK, sont passées de 500 millions de dollars en 2020.

Voir aussi : Webinaire en direct | OT Cybersecurity Stratégies pour les dirigeants

Dans son nouveau rapport, intitulé L’état de la sécurité DeFi 2021, les scientifiques de CertiK déclarent, néanmoins, qu’en raison de la hausse des investissements, les pertes de 2021 ne représentaient que 0,05 % de la capitalisation boursière totale de la crypto– en baisse de 17% par rapport à 2020.

CertiK crédits muc h de la croissance des monnaies numériques à l’augmentation de Binance Smart Chain, dont la valeur totale verrouillée, ou TVL, est passée de 62 millions de dollars à 21 milliards de dollars en 2021, soit une augmentation de 31 000 %, selon la société.

L’essor des procédures DeFi – qui ne reposent pas sur des intermédiaires traditionnels et fonctionnent à la place sur des contrats intelligents entre homologues à travers des applications décentralisées, ou DApps – a en fait rendu la récompense des exploits efficaces encore plus élevée, dit CertiK. Et « l’interopérabilité accrue », dit-il, a ouvert de tout nouveaux vecteurs d’attaque.

Selon DeFi Pulse, qui suit les investissements financiers associés, DeFi disposait de 95 milliards de dollars en TVL au moment de la rédaction.

Centralisation et autres risques

Les scientifiques de CertiK, qui ont audité plus de 1 700 projets, affirment que la vulnérabilité la plus courante découverte au cours des procédures DeFi était le risque de centralisation, dans lequel une seule étoile gère plusieurs adresses. CertiK a rencontré 286 « dangers de centralisation discrets » sur les 1 737 audits effectués en 2021. Il déclare : « La centralisation est contraire aux valeurs de DeFi et présente des menaces de sécurité importantes. Des points de défaillance uniques peuvent être utilisés par des pirates informatiques et des experts malveillants dédiés. semblables. »

D’autres vulnérabilités typiques consistaient en 211 circonstances d' »émissions d’occasions objectives » ou de fonctions qui doivent produire des notifications aux utilisateurs lorsque des « variables délicates » ou des « processus importants » sont modifiés. CertiK mentionne également l’utilisation d’une « variante de compilateur déverrouillée », repérée dans 176 instances, ce qui peut entraîner des différences dans le bytecode.

CertiK a rencontré 104 lignes de code sans validation d’entrée correcte – ou des entrées qui limitent le fonctionnalité d’un exécutable à un ensemble de possibilités reconnues.

La société a mis en garde contre une dépendance à des dépendances tierces, qu’elle a découverte dans 102 cas. Il se compose : « Un concepteur ne peut contrôler que la sécurité de son propre code, pas celle des accords externes avec lesquels le leur interagit. »

Offrant un avertissement similaire sur la sécurité DeFi, Jennifer Fernick, membre du conseil d’administration de la structure de sécurité open source de la structure Linux, informe l’ISMG : « Une clé cryptographique perdue ou une seule faille d’application logicielle pourrait entraîner l’effondrement d’organisations entières. Je pense que les entreprises DeFi sérieuses comprendront plus facilement, avec le temps, la valeur intrinsèque de cybersécurité robuste que leurs équivalents dits « web2 », principalement parce que pour DeFi, « le code est la loi », et il y a beaucoup en jeu qui peut disparaître en un instant. »

Fernick, qui est actuellement la responsable internationale de la recherche au sein du cabinet de conseil en cybersécurité NCC Group, dit qu’elle prévoit de voir une « poussée du marché en faveur de systèmes d’assurance plus élevée » peut-être extraordinaire pour les entreprises DeFi.

Et Connie Lam, responsable de la réponse aux incidents de CertiK Groupe, dit à l’ISMG que c Les marchés du rypto s’élargissent sans aucun doute et les exigences en matière de cybersécurité s’intensifient. Pourtant, elle déclare : « Nous entrons dans un monde multi-chaînes. … La véritable chance [progresser] dépend de la pleine exploitation efficace de la chance à travers toutes les chaînes. »

Source : rapport CertiK sur l’état de la sécurité DeFi 2021

‘La sécurité : un problème fondamental’

Gardant à l’esprit que La force – le langage dans lequel Ethereum Virtual Device, ou EVM, les contrats intelligents sont écrits – n’a que sept ans, déclare CertiK, « Les développeurs vérifient toujours les possibilités d’un code d’accord sage, et il n’y a pas de meilleur moment que ces premiers jours pour faire de la sécurité une préoccupation fondamentale et protéger les utilisateurs dans le futur. »

Le rapport CertiK indique des « fourchettes hâtives » ou des fractionnements en chaîne à la suite de mises à jour de protocole, « des implémentations non auditées et des escroqueries pures et simples » à des pertes importantes. Il indique qu’Uranium Financing, un fork d’Uniswap publié sur Binance Smart Chain, a perdu 57 millions de dollars de fonds d’utilisateurs en raison d’un seul caractère dans son code source.

« Toute modification du code d’une plate-forme doit être examinée et étudié, quel que soit le niveau d’ajustement initial », déclarent les chercheurs de CertiK. « Comme nous l’avons vu, un morceau de code de la taille d’un octet peut avoir des implications de plusieurs millions de dollars. »

Les régulateurs surveillent attentivement

Citant une augmentation à grande échelle de l’adoption de la cryptographie, le Les scientifiques de CertiK reconnaissent également que les régulateurs ont en fait tourné autour de DeFi et du marché plus complet des crypto-monnaies ces derniers temps.

En Chine en 2021, les régulateurs ont réprimé la crypto-monnaie et le crypto-mining, entraînant un exode des mineurs du Chine continentale.

Aux États-Unis, sous la direction du tout nouveau président Gary Gensler, la Securities and Exchange Commission a en fait indiqué à plusieurs reprises une application potentiellement plus complète des lois sur les valeurs mobilières pour régir les marchés de la cryptographie.

Le 3 août 2021, Gensler a qualifié les marchés de la cryptographie de « regorgeant de fraudes, d’arnaques et d’abus » et a exhorté le Congrès à offrir à la SEC des pouvoirs supplémentaires pour gérer les marchés. Gensler a également noté en août que les projets DeFi ne sont pas insensibles à la réglementation – avec des fonctionnalités qui nécessitent une surveillance fédérale (voir : SEC to Screen Illicit Activity on DeFi Platforms).

Critique virulent La sénatrice Elizabeth Warren, D-Mass., a également exigé une politique étendue concernant les crypto-monnaies, mentionnant à la fois les risques de sécurité et de marché, y compris la nature extrêmement instable de la crypto.

« À l’avenir, la sécurité continuera d’être inextricablement liée à l’avenir de DeFi », déclarent les chercheurs de CertiK. « Sans une sécurité significative qui protège les utilisateurs et les plates-formes, le développement en souffrira et l’intérêt s’éteindra. »

Le président de la Réserve fédérale américaine Jerome Powell (Photo : Federalreserve au moyen de Flickr)

Législation en attente ?

Ailleurs sur le plan réglementaire, le président de la Réserve fédérale, Jerome Powell, a déclaré mardi devant la commission sénatoriale des banques que le La Fed publiera son rapport sur les crypto-monnaies – consistant en l’opportunité d’une monnaie numérique de de réserve, ou CBDC – dans les semaines à venir. Powell a comparu pour qu’une audience soit reconfirmée en tant que président de la Fed pour 4 ans.

Pendant ce temps, à Capitol Hill, le représentant Tom Emmer, R-Minn., a tweeté mardi qu’il avait l’intention de présenter une législation sur les monnaies numériques , n’a cependant pas fourni de détails. Le mois dernier, la sénatrice Cynthia Loomis, R-Wyo., une évangéliste de longue date de la crypto, a révélé qu’elle aussi introduirait des coûts qui tenteraient de contrôler le domaine de la crypto-monnaie – consistant en la création d’un organisme d’autorégulation sous la juridiction du SEC et son agence sis, la Commodities Futures Trading Commission (voir : Le sénateur du GOP présentera le projet de loi « Comprehensive » sur les règles de cryptographie).

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici