Alors que le secteur DeFi continue d’attirer de l’argent et des utilisateurs, les mauvaises stars du monde entier continuent de le considérer comme une cible attrayante mûre pour le sélectionné et mal protégé.
Au cours des derniers mois, j’ai en fait suivi quelques-uns des exploits les plus remarquables des protocoles DeFi, et au moins 7 d’entre eux semblent être le résultat d’une sage seuls défauts de contrat.
Les pirates ont frappé et volé Wormhole, prenant plus de 300 millions de dollars, Qubit Finance (80 millions de dollars), Meter (4,4 millions de dollars), Deus (3 millions de dollars), TreasureDAO (plus de 100 NFT) et enfin , Agave et Hundred Financing qui, ensemble, ont perdu 11 millions de dollars au total. Toutes ces attaques ont entraîné le vol de sommes d’argent assez considérables, causant des dommages importants aux emplois.
Beaucoup de protocoles ciblés ont en effet connu une dévaluation de leur crypto-monnaie, une méfiance des utilisateurs, des critiques à l’égard la sécurité de la DeFi et des contrats intelligents, et des conséquences défavorables comparables.
Quels types d’exploits se sont produits lors des attaques ?
Naturellement, chacun de ces cas est distinct, et différents types de des exploits ont été utilisés pour traiter chaque projet spécifique, en fonction de leurs vulnérabilités et de leurs défauts. Les exemples consistent en des erreurs de raisonnement, des attaques de réentrance, des attaques de prêt flash avec ajustements de coût, etc. Je pense que c’est le résultat de la complexité croissante des protocoles DeFi, et comme ils le font, la complexité du code rend de plus en plus difficile le nettoyage de tous les défauts.
J’ai découvert deux choses en examinant chacun de ces occurrences. Le premier est que les pirates ont réussi à s’en tirer avec d’énormes quantités à chaque fois – des millions de dollars en crypto.
Ce « jour de paie » donne aux pirates une récompense pour investir chaque fois que nécessaire à étudier les protocoles, même des mois à un certain temps, étant donné qu’ils savent que la récompense en vaudra la peine. Cela signifie que les pirates sont encouragés à passer beaucoup plus de temps à rechercher des failles que les auditeurs.
La deuxième chose qui se démarque est que, dans certains cas, les hacks étaient en fait très simples. Prenons l’attaque Hundred Financing comme exemple. La tâche a été exécutée à l’aide d’un bogue populaire qui peut normalement être découvert dans les fourches Substance si un jeton est contribué à la procédure. Tout ce que le pirate informatique doit faire est d’attendre que l’un de ces jetons soit versé au Hundred Finance. Après cela, il suffit de suivre quelques actions faciles à utiliser pour accéder à l’argent.
Que peuvent faire les projets DeFi pour se protéger ?
Mouvement À l’avenir, la meilleure chose que ces projets puissent faire pour se protéger des mauvaises étoiles est de se concentrer sur les audits. Plus ils sont approfondis, mieux c’est, et menés par des professionnels expérimentés qui savent ce qu’il faut retenir. Il y a une autre chose que les projets peuvent faire, même avant de recourir aux audits, et c’est de s’assurer qu’ils ont une excellente architecture produite par des développeurs responsables.
Ceci est particulièrement important car beaucoup de Les projets blockchain sont open-source, ce qui signifie que leur code a tendance à être copié et recyclé. Cela accélère les choses tout au long de l’avancement et le code est gratuit à prendre.
Le problème est s’il s’avère qu’il est défectueux et qu’il est copié avant que les concepteurs d’origine ne déterminent les vulnérabilités et ne les corrigent. Même s’ils annoncent et effectuent la réparation, ceux qui l’ont copié peuvent ne pas voir les nouvelles, et leur code reste sensible.
Dans quelle mesure les audits peuvent-ils réellement aider ?
Intelligent les contrats fonctionnent comme des programmes qui fonctionnent sur l’innovation blockchain. Il est possible qu’ils soient défectueux et qu’ils contiennent des bugs. Comme je l’ai mentionné précédemment, plus l’accord est complexe, plus il y a de chances qu’un ou deux défauts échappent aux contrôles des concepteurs.
Il existe de nombreuses situations où il n’existe pas d’option simple pour les corriger. défauts, c’est pourquoi les développeurs doivent prendre leur temps et s’assurer que le code est fait de manière appropriée et que les défauts sont repérés immédiatement ou au moins le plus tôt possible.
C’est là que les audits sont disponibles, car si vous évaluez le code et documentez correctement la progression de son développement et des tests, vous pouvez éliminer la plupart des problèmes dès le début.
Naturellement, même les audits ne peuvent fournir une assurance à 100 % qu’il n’y aura pas soucis avec le code. Personne ne peut. Ce n’est pas par hasard que les pirates ont besoin de mois pour découvrir la plus petite vulnérabilité qu’ils peuvent utiliser à leur avantage : vous ne pouvez pas créer le code idéal et le rendre utile, en particulier lorsqu’il s’agit de nouvelles technologies.
Les audits minimisent le nombre de problèmes, mais le vrai problème est que de nombreux emplois touchés par les pirates n’ont même pas eu d’audit du tout.
Donc, à tous les développeurs et propriétaires d’emplois qui sont encore dans la procédure d’avancement est de garder à l’esprit que la sécurité ne provient pas de la réussite d’un audit. Néanmoins, cela commence certainement là. Traitez votre code; assurez-vous qu’il a une architecture correctement conçue et que des développeurs expérimentés et minutieux y travaillent.
Assurez-vous que tout est évalué et bien documenté, et utilisez toutes les ressources à portée de main. Les primes de bogue, par exemple, sont une méthode fantastique pour que votre code soit examiné par des personnes du point de vue des pirates, et une nouvelle perspective de quelqu’un à la recherche d’une méthode peut être inestimable pour sécuriser votre tâche.
Message de visiteur par Gleb Zykov de HashEx
Gleb a commencé sa carrière dans le développement de logiciels dans un institut de recherche, où il a acquis une solide expérience technique et de programmes, établissant différents types de robots pour le ministère russe de Situations d’urgence.
Plus tard, Gleb a apporté ses connaissances techniques à la société de services informatiques GTC-Soft, où il a créé des applications Android. Il est ensuite devenu développeur principal, puis directeur technique de l’entreprise. Dans GTC, Gleb a dirigé le développement de nombreux services de suivi automobile et d’un service de type Uber pour les taxis haut de gamme. En 2017, Gleb est devenu l’un des cofondateurs de HashEx, une société internationale d’audit et de conseil en blockchain. Gleb occupe le poste de directeur de l’innovation, dirigeant le développement de solutions de blockchain et d’audits de contrats intelligents pour les clients de l’entreprise.
En savoir plus →
Obtenir un avantage sur le marché de la cryptographie Devenez membre de CryptoSlate Edge et accédez à notre quartier Discord unique, à du matériel et à des analyses plus exclusifs.
Analyse en chaîne
Prix des photos
Plus de contexte
Analyse en chaîne
Prix des photos
Plus de contexte
Inscrivez-vous maintenant pour 19 $/mois Découvrez tous les avantages
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
