La finance décentralisée (DeFi) est là pour vivre avec une valeur totale verrouillée (TVL) de plus de 100 milliards de dollars, ce qui souligne le vote de confiance envers ces nouveaux instruments financiers. Cet investissement continuera de croître, mais il semble que pour chaque nouveau record chez TVL, une autre cyberattaque horrible soit signalée.

La crypto-monnaie a diminué de 57 % en 2020, mais les attaques DeFi ont considérablement augmenté, coûtant des milliards de pertes aux entreprises et aux investisseurs. Rien qu'au mois de mars, plusieurs attaques ont eu lieu en seulement 5 jours, le réseau payant ayant perdu 180 millions de dollars. Fin mai, PancakeBunny a perdu plus de 200 millions de dollars dans un exploit de crédit flash.

Il est clair qu’il y a trop de failles et de failles dans les protocoles de sécurité actuels de la blockchain. Du tirage de tapis aux escroqueries frauduleuses, la sécurité et la technologie de cet espace ne sont pas aussi parfaites que les chiffres le suggèrent. Cependant, il existe des pratiques importantes que les développeurs et les utilisateurs peuvent adopter pour combler ce vide.

La technologie décentralisée est toujours centralisée

Même si un protocole est déclaré de manière décentralisée, la structure de base reste centralisée. Jetez un œil à l’une de nos fonctionnalités Internet les plus importantes, les enregistrements DNS. Chaque nom de domaine reste la propriété centrale du gouvernement, de l'État ou de l'entreprise qui a l'autorité ultime sur le domaine et peut le désactiver si vous le souhaitez.

Les contrats intelligents sont un exemple de centralisation dans la décentralisation. Les rédacteurs de contrats intelligents chez Ethereum ou Binance ont le dernier mot sur le contenu du code, et il existe des moyens de coder des schémas néfastes, comme le tirage de tapis, dans des contrats intelligents.

Lors du boom des fermes de productivité de l’été 2020, nous avons vu de nombreux journaux émerger pour profiter de l’argent affluant vers DeFi, et cela se poursuit cette année. En mars, TurtleDex a mené une opération de tapis, qui est en fait une porte dérobée dans un contrat intelligent, qui a abouti à un vol de 2.5 millions de dollars aux investisseurs. Cette fonctionnalité supposée permet aux développeurs de programmer des astuces qui sont ensuite exécutées en réponse à d'autres événements dans le code, et TurtleDex est l'un des nombreux projets de cette année qui ont brisé le tapis par programmation.

Connecté: Le profit est sur toutes les lèvres, mais DeFi promet de changer notre façon de gérer l'argent

L'audit des contrats intelligents est un excellent moyen d'éviter le tapis, mais même dans ce cas, nous voyons des cas où les développeurs transmettent un contrat intelligent testé à un contrat non testé. L'affaire Compounder montre un projet de fraude qui capture facilement la réputation de noms connus et réputés dans la salle. Ils ont pu profiter rapidement de Harvest Finance et de Yearn.finance avant de tirer le tapis sur leurs utilisateurs et de repartir avec des millions de dollars en crypto.

Connecté: L'audit standard des projets DeFi est indispensable pour le développement de l'industrie

Tendances actuelles en matière de piratage

Outre le tir de tapis, il existe de nombreuses attaques courantes qui peuvent renverser une entreprise entière si elles ne sont pas préparées. Une attaque à 51 % – c'est-à-dire lorsqu'un pool de mineurs contrôle plus de 50 % du taux de hachage minier du réseau et leur permet de saisir ou de manipuler les enregistrements de transactions pour doubler les dépenses ou briser le bloc de chaîne – se produit encore souvent. Firo et Grin ont tous deux subi 51 % d'attaques ces derniers temps.

Même certains projets de cryptographie top-cap ne sont pas sûrs. En février, il a été rapporté que 200 jours de trading XVG sur le réseau Verge avaient été supprimés dans ce qui est littéralement « l’événement le plus profond jamais enregistré dans le top 100 des crypto-monnaies ».

Nous acceptons ces erreurs dans le cadre de l’expérience blockchain, mais quelle serait la réaction si la même chose arrivait à une grande banque, par exemple ? Il y aura probablement beaucoup de gros titres dans les médias et un tollé parmi les utilisateurs et les clients. Ces événements passent largement inaperçus dans le domaine de la cryptographie car il y a moins d’utilisateurs, mais avec le récent marché haussier, cela est en train de changer. Inévitablement, la sécurité des blockchains publiques est examinée de plus près.

Méthodes de prévention du piratage comme le tirage de tapis kéo

Malheureusement, le piratage est toujours une option pour les développeurs lorsqu’ils travaillent dans le domaine de la cryptographie. La question n’est pas de savoir comment empêcher le piratage, mais comment éviter d’être piraté. Plusieurs avancées dans les portefeuilles matériels – comme le portefeuille multi-signature de Gnosis Safe – sont des facteurs clés dans l'amélioration de la sécurité globale.

L'utilisation d'un portefeuille multisig permet à plusieurs utilisateurs de détenir les clés du même portefeuille et nécessite la participation des deux pour effectuer des actions sur le compte. Puisqu’un portefeuille comme celui-ci nécessite la saisie de plusieurs utilisateurs pour effectuer une transaction, il est pratiquement impossible de tirer des tapis avec ce type de coffre-fort.

Une autre méthode de sécurité pour empêcher que les tapis ne soient tirés est la minuterie. De nombreuses applications décentralisées utilisent des délais d'attente, donc si un développeur essaie d'attirer ses utilisateurs, vous recevrez une alerte dans environ 12 à 24 heures pour effacer les pièces.

Ce type de pratiques de sécurité favorisera une plus grande confiance dans DeFi et créera une culture de sécurité qui fera progresser notre industrie.

Sécurité améliorée du portefeuille crypto

La sécurité du portefeuille dépend en fin de compte des développeurs et des utilisateurs qui utilisent des méthodes plus intelligentes. Des examens de sécurité réguliers et des pratiques de sécurité internes peuvent tous contribuer à rendre les portefeuilles plus sécurisés.

Bien que les examens de sécurité soient une bonne solution, Uniswap et d’autres échanges décentralisés (DEX) automatisés basés sur des teneurs de marché ne sont pas autorisés, de sorte que des examens périodiques ne peuvent pas être effectués. La meilleure pratique consiste à comprendre les spécificités des pièces de « lancement équitable » – des projets lancés à partir d’un DEX. Même si bon nombre de ces projets sont de grande qualité, beaucoup sont connus pour être très performants. Le code open source permet à quiconque de tester et de vérifier facilement qu'un contrat intelligent est sûr pour lui-même, et donne aux utilisateurs davantage d'outils pour pratiquer une bonne sécurité.

Demander aux utilisateurs de mettre en place une bonne sécurité peut sembler un exploit de taille, mais cela est nécessaire pour accéder aux nombreux avantages des crypto-monnaies et de la DeFi en particulier. Avec les banques traditionnelles, la banque est responsable de la sécurité, mais avec les cryptomonnaies, la sécurité dépend des pratiques des développeurs et des utilisateurs.

Si vous oubliez votre mot de passe bancaire ou envoyez de l'argent à la mauvaise personne, vous pouvez contacter votre banque pour atténuer la transaction jusqu'à ce qu'elle soit résolue. Mais en crypto, il n’y a pas d’option de sauvegarde si vous perdez votre clé ou envoyez de l’argent à la mauvaise adresse. L’un des avantages, bien sûr, est que vous n’avez pas à vous soucier de la disponibilité de vos fonds en crypto tandis que les banques peuvent fermer et imposer des contrôles de capitaux, comme cela s’est produit lors de la crise bancaire grecque de 2015.

Conclusion

En tant que développeurs, nous devons effectuer des tests de sécurité et des validations croisées et nous tenir mutuellement responsables du développement de pratiques de sécurité améliorées.

Les utilisateurs doivent envisager de mettre en œuvre leurs propres protocoles de sécurité et de comprendre les nuances du stockage et les scénarios d'attaque potentiels. Une bonne pratique pour les détenteurs de crypto passifs consiste à déconnecter les portefeuilles matériels d’Internet ou les portefeuilles papier qui sont 100 % hors ligne et ne nécessitent pas de synchronisation en ligne pour les mises à jour du micrologiciel.

Les attaques de phishing, l'une des premières formes d'attaques sur Internet, sont encore répandues et courantes. Une façon de lutter contre les tentatives de phishing consiste à vérifier l’authenticité de l’expéditeur.

Ne saisissez pas vos clés privées ou phrases de départ sur un site Web et ne les envoyez pas à quiconque sur les chaînes publiques ou les DM. En général, vous ne devez saisir votre phrase de départ que la première fois que vous configurez le portefeuille. De plus, vous ne devez saisir votre phrase de départ que si vous devez restaurer votre portefeuille après avoir oublié votre mot de passe, importer un portefeuille existant sur un nouvel appareil ou utiliser un logiciel de portefeuille compatible. En général, vous devez utiliser des dispositifs de portefeuille matériel qui ne donneront jamais votre grain de sel à aucun type de logiciel – même une application ou un logiciel de portefeuille fiable ne peut être piraté.

Alors que nous continuons à construire notre nouvelle économie DeFi (principalement) mondiale, il sera important d'améliorer la sécurité afin que l'acceptation générale et les capitaux puissent continuer à affluer dans l'espace afin que la prochaine génération puisse atteindre de nouvelles frontières d'indépendance financière.