Selon la société d’analyse en chaîne Chainalysis, le volume des transactions criminelles de crypto-monnaie en 2021 a culminé à un nouveau record historique – 14 milliards de dollars. Cependant, malgré l’augmentation du volume des transferts criminels, sa part relative dans l’ensemble du volume des transactions de crypto-monnaie de 2021 était la plus faible de tous les temps. Ces statistiques montrent que l’expansion de la sphère des crypto-monnaies dépasse de loin la cybercriminalité associée aux crypto-monnaies, elles montrent également que la sécurité dans l’industrie rattrape également la demande.
Les cyberattaques les plus lucratives de 2021
Même s’il y a eu une baisse de la part du volume des transactions associées à la criminalité dans l’espace des crypto-monnaies en 2021, plusieurs cas ont soulevé quelques sourcils. Ici, je vais passer en revue certains des plus accrocheurs.
1. Réseau Poly – 611 millions de dollars
Le piratage du Poly Network s’est produit le 10 août 2021 et a entraîné le vol d’environ 611 millions de dollars d’actifs numériques volés sur trois chaînes de blocs : Ethereum, BSC et Polygon. Le détail le plus remarquable était que le pirate informatique avait restitué la totalité de la somme qu’il avait volée, expliquant sa décision comme une tentative de signaler les vulnérabilités du protocole Poly Network qui ne cherchait pas à faire de profit.
Poly Network est un réseau inter-chaînes qui permet aux utilisateurs d’effectuer des blockchain< /a> opérations de manière décentralisée. Par exemple, transférer des fonds d’une blockchain à une autre. Pour ce faire, une grande quantité de liquidités est nécessaire pour être dans le protocole. Dans Poly Network, cette liquidité est contrôlée par des contrats intelligents spéciaux.
Les contrats exploités étaient EthCrossChainManager et EthCrossChainData. EthCrossChainData appartient à EthCrossChainManager et stocke une liste de clés publiques qui peuvent contrôler cette liquidité (gardiens).
L’attaquant a exploité une vulnérabilité dans le contrat EthCrossChainManager et pourrait le tromper pour remplacer les détenteurs du contrat par ceux de l’attaquant. Ensuite, l’attaquant a crypté la liquidité du protocole Poly Network, ayant pris le contrôle total des opérations du protocole.
2. Bitmart – 196 millions de dollars
Le 4 décembre 2021, l’échange centralisé de crypto-monnaie Bitmart a été attaqué, avec 200 millions de dollars d’actifs cryptographiques volés dans son portefeuille chaud. Les attaquants ont volé les clés privées des portefeuilles actifs de l’échange.
L’échange Bitmart a affirmé qu’il avait perdu 150 millions de dollars, mais la société de cybersécurité blockchain Peckshield a par la suite publié une réclame que 196 $ millions avaient été volés dans les blockchains Ethereum et Binance Smart Chain dans plus de 20 crypto-monnaies et jetons. Ils ont également montré le chemin parcouru par les actifs volés à l’exception de la destination finale. Tout d’abord, l’attaquant a échangé les actifs volés contre Ether à l’aide de l’agrégateur DEX 1 pouce, puis a lavé l’Ether à l’aide d’un mélangeur de confidentialité Tornado Cash. Après cela, la trace devient vide.
Cette cyberattaque a montré une fois de plus la vulnérabilité du stockage de clés privées sur plusieurs adresses avec des sommes énormes sur un seul serveur. Cela a exposé tous les portefeuilles chauds de l’échange à la fois.
3. Financement de la crème – 130 millions de dollars
Lors de la cyberattaque de Cream Finance qui a eu lieu en décembre 2021, un pirate ou deux pirates ont utilisé plusieurs protocoles – MakerDAO, AAVE, Curve, Yearn.finance – pour réaliser un braquage de Cream Finance d’une valeur de 130 millions de dollars en jetons et crypto-monnaies .
Les preuves suggèrent qu’il pourrait y avoir eu deux attaquants, je vais le supposer. Il y avait deux adresses utilisées dans l’attaque : l’adresse A et l’adresse B. La première adresse A a prêté 500 millions de dollars de DAI à MakerDAO et, après avoir fait glisser cette liquidité à travers Curve et Year.finance, les a utilisées pour frapper 500 millions de cryUSD sur Cream Finance. . Dans le même temps, l’adresse A a augmenté la liquidité du yUSD Vault de Yearn.finance à 511 millions yUSDTVault.
Ensuite, l’adresse B flash a emprunté 2 milliards de dollars d’Ether à AAVE, a frappé pour 2 milliards de dollars de cEther en déposant les 2 milliards de dollars d’ETH empruntés dans Cream. Ensuite, l’adresse B l’a utilisé pour retirer 1 milliard de yUSDVault et les a échangés contre 1 milliard de cryUSD et les a transférés à l’adresse A. Ainsi, l’adresse A a obtenu 1,5 milliard de cryUSD.
Après cette adresse, A a acheté 3 millions de DUSD à Curve et les a tous échangés contre yUSDVault, obtenant ainsi 503 millions de yUSDVault sur son solde. Ensuite, l’adresse A a remboursé 503 millions de yUSDVault pour le jeton yUSD sous-jacent et a porté l’offre totale de yUSDVault à 8 millions.
Ensuite, l’adresse A a transféré 8 millions d’USD dans le coffre-fort Yearn.finance yUSD et a doublé la valorisation du coffre-fort. Cela a permis à PriceOracleProxy de Cream de doubler l’évaluation de cryUSD car il détermine le prix de cryUSD en fonction de (l’évaluation de yUSD Yearn Vault) / (l’offre totale de yUSDVault), soit 16 millions de dollars / 8 millions de yUSDVault. Par conséquent, Cream a perçu que l’adresse A avait 3 milliards de dollars en cryUSD.
Cette erreur a fini par coûter cher à Cream Finance. Les pirates ont pu restituer le prêt flash avec les liquidités excédentaires qu’ils ont produites et empocher la totalité des liquidités (130 millions de dollars) qui étaient bloquées dans Cream Finance en utilisant le milliard de dollars en cryUSD qu’il leur restait.
Les types d’attaques les plus populaires en 2021
Parlant d’attaques contre des contrats intelligents, le type d’attaque le plus populaire était l’attaque de prêt flash comme celle décrite ci-dessus. Selon The Block Crypto, sur les 70 attaques DeFi en 2021, 34 ont utilisé des prêts flash, le hold-up de décembre Cream Finance étant le summum en termes de montant volé. La caractéristique essentielle de ces attaques est l’utilisation de plusieurs protocoles. En eux-mêmes, ils peuvent être sécurisés, mais lorsqu’il s’agit d’en utiliser une chaîne, des vulnérabilités peuvent être trouvées.
Un autre type d’attaque sur les contrats intelligents qui peut être classé comme une attaque DeFi classique est l’attaque par réentrance. Une attaque de réentrance peut se produire si la fonction qui appelle un contrat externe ne met pas à jour le solde d’adresses avant d’effectuer un autre appel à ce contrat. Dans ce cas, le contrat externe peut retirer des fonds de manière récursive car le solde de l’adresse dans le contrat cible n’est pas mis à jour après chaque retrait. Et ces appels récursifs peuvent continuer jusqu’à épuisement du solde du contrat.
Et le troisième type d’attaques courant en 2021 était les attaques contre les échanges centralisés en volant la clé privée du portefeuille chaud des échanges. Il s’agit d’une méthode très ancienne de cyberattaques dans l’histoire des crypto-monnaies, mais elle ne devient pas trop ancienne.
Comment protéger vos fonds dans l’espace des crypto-monnaies ?
En ce qui concerne les fonds d’un utilisateur individuel, il est bon de faire preuve de diligence raisonnable concernant la plate-forme sur laquelle vous souhaitez déposer vos fonds : regardez le site, regardez les réseaux sociaux des membres de l’équipe, jetez un œil au White Papier et l’audit technique. De plus, il sera bon d’utiliser la fonctionnalité des portefeuilles de crypto-monnaie qui permettent de mettre sur liste blanche les contrats que l’utilisateur utilise régulièrement, elle existe dans le portefeuille Metamask et dans les services en ligne dédiés pour la conservation sécurisée de la crypto-monnaie Unrekt et Debank. Si un transfert vers un contrat inconnu a été approuvé, ils mettront en évidence un tel contrat.
Lorsque la sécurité d’un protocole DeFi est concernée, il est bon d’utiliser la base de code d’autres projets éprouvés. Mais le fondateur devrait tout de même sanctionner au moins un audit technique des smart contracts du projet. Ceci est particulièrement important avec les protocoles déployés sur plusieurs blockchains et interagissant avec d’autres protocoles. Ils nécessitent un examen particulièrement rigoureux lors des audits.
Message invité par Gleb Zykov de HashEx
Gleb a commencé sa carrière dans le développement de logiciels dans un institut de recherche, où il a acquis une solide expérience technique et en programmation, développant différents types de robots pour le ministère russe des situations d’urgence.
Plus tard, Gleb a apporté son expertise technique à la société de services informatiques GTC-Soft, où il a conçu des applications Android. Il est ensuite devenu le développeur principal, puis le directeur technique de l’entreprise. Dans GTC, Gleb a dirigé le développement de nombreux services de surveillance de véhicules et d’un service de type Uber pour les taxis haut de gamme. En 2017, Gleb est devenu l’un des co-fondateurs de HashEx – une société internationale d’audit et de conseil en blockchain. Gleb occupe le poste de directeur de la technologie, à la tête du développement de solutions de blockchain et d’audits de contrats intelligents pour les clients de l’entreprise.
Newsletter CryptoSlate
Avec un résumé des histoires quotidiennes les plus importantes dans le monde de la crypto, DeFi, NFT et plus.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
