Incidents de piratage de DeFi en 2021

[TL; DR]

La finance décentralisée (DeFi) a pris un essor spectaculaire ces dernières années, rendant ce jeune secteur très attractif pour les investisseurs blockchain. DeFi a accumulé plus de 100 milliards au troisième trimestre de 2021. Depuis sa création, ce boom a attiré des attaques massives de la part de hackers qui profitent des failles du projet.

À cet effet, des entreprises comme CipherTrace ont publié des outils et de nouvelles solutions de conformité qui aideront les échanges décentralisés (DEX) et les projets DeFi à respecter les réglementations de l'Office of Foreign Assets Control (OFAC). Ce développement est un grand pas vers la légitimité de l'espace DeFi qui évolue rapidement. La conformité DeFi de CipherTrace rendra toutes les données pertinentes disponibles facilement et directement sur la chaîne pour une intégration facile et rapide dans les cadres DeFi existants.

Déjà, cela aide les projets DeFi à freiner cet acte malveillant dans une large mesure. D'une manière générale, les crimes cryptographiques ont tendance à diminuer au cours des années précédentes : 4,5 milliards de dollars en 2019, 1,9 milliard de dollars en 2020, 681 millions de dollars au cours des sept premiers mois de 2021. Mais les crimes deFi ont triplé en effet.

Cet article examine les causes, les hacks importants de DeFi 2021 et les mesures prises par l'industrie pour freiner la répétition. Continuez à lire !

Mots-clés : Finance Décentralisée (DeFi), attaques DeFi, piratage blockchain, plus gros hack DeFi, piratage blockchain, pirate.

Pourquoi des projets DeFi ?

De nombreuses questions se posent donc pour savoir pourquoi beaucoup s'intéressent encore à cette branche de la blockchain, malgré les attaques massives. Il pourrait vous intéresser de savoir que, contrairement aux systèmes financiers classiques où des opérations d'initiés régissent le fonctionnement et contrôlent le secteur, DeFi ne s'appuie pas sur de telles autorités.

La finance décentralisée, alimentée par la technologie blockchain, a révolutionné la finance car elle est entièrement non gardienne et décentralisée. Les utilisateurs sont autorisés à avoir un contrôle total et à effectuer des transactions sur leurs actifs numériques : aucune autorité centrale. Cette décentralisation est rendue possible par les contrats intelligents sur le réseau blockchain, qui n'autorisent des actions sur le réseau que lorsque certaines conditions sont remplies. Ainsi, nous disposons de services financiers de pair à pair qui permettent des prêts décentralisés, des échanges décentralisés, des produits dérivés, des systèmes de paiement, l'agriculture de rendement, des prévisions de marché qui sont plus rapides, moins chers, vérifiables et transparents.


Par exemple, les projets Ethereum DeFi ont été largement adoptés en raison du taux d'intérêt élevé de l'année précédente, ce qui a permis à de nombreux utilisateurs de réaliser des bénéfices importants. Les prêts et les intérêts perçus sur les prêts ont généré un "revenu passif" pour les utilisateurs. L'agriculture de rendement permet aux utilisateurs de tirer parti de leurs actifs cryptographiques pour générer des rendements intéressants.

Hacks via une conception faible des contrats intelligents

Malgré cette baisse des attaques généralisées contre l'industrie de la blockchain, le DeFi s'est aggravé d'un facteur 2,7 par rapport à l'année dernière. Ces pertes ont été causées par divers moyens, tels que des piratages, des trac7hages, des défaillances du système et des vols.


Dans la plupart des cas, le piratage de DeFi se produit lorsque les contrats intelligents mis en œuvre sur la blockchain sont défectueux, l'utilisation abusive de protocoles tiers, l'incompétence des développeurs et les erreurs de logique commerciale, ce qui rend le projet potentiellement vulnérable aux pirates. Ces erreurs de contrats sont souvent presque irrévocables, tout comme les bugs, ce qui augmente le risque. Malheureusement, ces failles sont encore répandues chez les DFi.

Selon les experts, les pirates exploitent la faiblesse de la cryptographie ou du codage de ces projets DeFi pour autoriser le mouvement des fonds.


P.S : Avec un total de 906 millions de dollars, Poly Network, Compound et Cream Finance se sont hissés au rang des projets DeFi les plus touchés en 2021.

1. Les plus grands piratages de DeFi en 2021 : Le piratage de Poly Network

Le 10 août, la perte de crypto-monnaie la plus importante de l'histoire, d'un montant de 612 millions de dollars, a été enregistrée par Poly Network, dépassant les pertes de MtGox et Coincheck. Habituellement, les hackers de DeFi ciblent des instruments DeFi spécifiques, mais dans ce cas, c'est l'infrastructure de Poly Network qui est visée.

L'objectif du pirate était de prendre le contrôle total des contrats intelligents de la bourse décentralisée (DEX), ce qui lui donnait accès aux jetons verrouillés dans le contrat.

Au total, 273 millions de dollars de jetons du réseau Ethereum ont été volés, 85 millions de dollars en USD Coin (USDC) du réseau Polygon et 253 millions de dollars de Binance Smart Chain, ainsi qu'une quantité non négligeable de renBTC, de wrapped Bitcoin (wBTC) et de wrapped Ether (wETH).

Poly Network fonctionne avec un contrat intelligent qui relie des blockchains indépendantes pour faciliter le transfert de jetons. Ce pirate, qui serait connu sous le nom de White Hat, a exploité le contrat intelligent CrossChainManager et a échangé la clé de stockage du contrat sur le Poly Network. Cette manipulation lui a donné un contrôle total, lui permettant de déverrouiller et de déplacer les jetons vers les adresses de son choix.

Étonnamment, le pirate a rejeté les offres faites par Poly Network, mais le 11 août, le pirate a commencé à rendre une partie des fonds volés à Poly Network.

Il semblerait que le pirate ait réutilisé un portefeuille auprès d'échanges importants qui disposaient d'informations sur lui par le biais de leur protocole "know your customer".
Selon CipherTrace, la plupart des fonds volés ont été retournés à des adresses sélectionnées par Poly Network.
Ces adresses sont :

· 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
· 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
· 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

2. hack de la Compound Finance

Le 19 avril 2021, EasyFI a perdu environ 75 millions de jetons EASY et 6 millions de dollars de liquidités d'utilisateurs. EasyFi est un fork de Compound Finance opérant sur le réseau Polygon Layer 2. Le pirate a accédé à la clé d'administration du projet, qui permet aux développeurs de mettre à jour leur protocole. Par conséquent, l'équipe a modifié le protocole du réseau blockchain pour compenser ses pertes et éviter de futures attaques.

3. Attaque de prêt flash de Yearn Finance

Yearn Finance (YFI) a été attaquée par un pirate informatique en février 2021, s'échappant avec 2,8 millions de dollars. Les pirates ont détourné 11 millions de dollars du coffre-fort de la DIA via des prêts flash pour faire un prêt garanti. Ce mystérieux pirate a profité du défaut de conception pour lancer une "attaque de prêt flash" en engageant cinq protocoles DeFi différents : Compound Finance (COMP), Aave Protocol (AAVE), Curve Protocol (CRV), dYdX, et Yearn. Finance (YFI).

4. Piratage du réseau PAID 2021

Le pirate a manipulé la fonction de mise à niveau des contrats intelligents en utilisant une clé compromise du déployeur de contrats Paid Network. Cet accès lui a permis de frapper et de jeter plus de 100 millions, ce qui a provoqué une poussée inflationniste qui a fait perdre au jeton environ 85 % de sa valeur marchande.

5. Cream Finance : 130 millions de dollars de piratage

Rien qu'en 2021, Cream Finance a subi trois attaques différentes pour un montant total de 186,6 millions de dollars. - En février, des pirates ont pénétré en doublant le contrat intelligent du protocole Alpha Homora. Environ 37,5 millions de dollars en ETH et en stablecoins ont été retrouvés manquants.

- Fin août, Cream Finance a subi une attaque similaire lorsque des pirates ont volé 18,8 millions de dollars en Ether (ETH) et en jetons AMP.

-Cream Finance a subi une nouvelle attaque le 27 octobre 2021. La perte a été estimée à environ 130 millions de dollars cette fois-ci. Ce qui en fait le classement de la 3e attaque la plus élevée de 2021.
L'attaquant a exploité une vulnérabilité dans le contrat intelligent des prêts flash (prêts instantanés) de Cream Finance sur le réseau Ethereum.

6.BadgerDAO : vol de 120 millions de dollars de jetons.

Dans son protocole, les détenteurs de Bitcoin sont en mesure de "faire le pont" entre leur crypto-monnaie et la plateforme Ethereum via son jeton, ce qui leur permet de bénéficier d'opportunités de DeFi auxquelles ils n'auraient peut-être pas accès.

Selon une source de sécurité, pecksheild, qui travaille avec Badger DAO pour enquêter sur les jetons volés, a confirmé qu'un acteur malveillant a empoché environ 120 millions de dollars de jetons le 1er décembre 2020. Ils ont affirmé que le mauvais acteur a inséré __script__s sur leur site Web pour interrompre les transactions Web3, demandant un transfert des jetons de la victime vers l'adresse choisie par l'attaquant. L'équipe de Badger a affirmé avoir remarqué une trace dès le 10 novembre, mais elle était à peine traçable car le pirate l'a exécutée sévèrement à différents intervalles.

Bien qu'il n'y ait pas de faute dans la technologie Blockchain elle-même, le pirate a exploité les utilisateurs du site web2.0 de Badger pendant qu'ils effectuaient leurs transactions. Cela a conduit la société Badger à geler sa plateforme en raison des transferts non autorisés détectés par son équipe. Elle a mis en pause tous les contrats intelligents et a demandé aux utilisateurs de rejeter toutes les transactions vers les adresses de l'attaquant.
Depuis lors, la société a retenu les services des experts en informatique légale Chainalysis pour enquêter à grande échelle, tout en coopérant pleinement avec les organismes externes d'enquête.


Conclusion

-Selon le Coin Telegraph, sur 2021 crypto hacks, seuls 37 % ont été audités.
-Environ 60 % d'impact d'attaque en moins par rapport aux projets non audités.
-Ce résultat affirme également que jusqu'à 1,3 milliard de dollars provenaient de projets non audités.

Nous pouvons donc en déduire que l'audit est essentiel pour fournir un protocole DeFi sécurisé aux adoptants de la blockchain. Récemment, la demande d'audits de sécurité des contrats intelligents et de procédures d'audit par des tiers s'est accrue pour garantir la viabilité de ces projets avant qu'ils ne soient rendus publics. En conclusion, les investisseurs doivent effectuer des recherches approfondies avant d'allouer des fonds aux projets DeFi. Néanmoins, ces piratages et vols ont mis l'accent sur la prudence de la communauté blockchain, poussant le secteur à l'avancement et à la crédibilité.

Auteur : Gate.io Observateur : M. Olatunji
Avertissement :
* Cet article ne représente que les opinions des observateurs et ne constitue pas une suggestion d'investissement.
*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.