Nouvelles

Guide de vulnérabilité financière décentralisée


La finance décentralisée offre un réel potentiel révolutionnaire. Cependant, étant donné la nature relativement immature du département DeFi, les lacunes sont monnaie courante. Le récent incident bZx illustre clairement comment les attaquants peuvent détecter ces faiblesses et les utiliser à des fins personnelles.

Par conséquent, il est utile que les utilisateurs prennent un certain temps pour comprendre ces vulnérabilités afin de prendre des décisions éclairées sur les risques encourus.

Sécurité du compte

Lorsqu'un utilisateur investit dans une application DeFi, il dépose en fait des fonds dans le portefeuille d'un autre utilisateur. Les contrats intelligents peuvent contrôler la façon dont les fonds de ces portefeuilles sont utilisés, mais quelqu'un possède quelque part la clé privée du portefeuille.

Plus tôt ce mois-ci, Chris Blec a publié une vidéo sur sa chaîne YouTube avec un aperçu de la sécurité opérationnelle autour des portefeuilles pour diverses applications DeFi. Comme l'a souligné Blec dans la vidéo:

"Il n'y a aucun moyen de prouver qu'il n'y a pas de mots-clés dans les captures d'écran enregistrées sur l'iPhone. Nous devons croire [les opérateurs dApp] quand ils disent non."

Pour rendre les choses plus transparentes, Blec a recherché des moyens de déployer le projet DeFi pour protéger les fonds contre les pirates. Ces mesures incluent le verrouillage temporel et la sécurité multi-signatures.

Cependant, étant donné que l'équipe DeFi garde ses pratiques OpSec confidentielles, cela est compréhensible, il est donc impossible pour tout utilisateur de déterminer si les meilleures mesures adoptées sont réellement en place. Par exemple, Blec explique qu'il peut y avoir plusieurs signatures, mais ne peut pas vérifier qu'une personne n'a pas la possibilité d'accéder à toutes les signatures requises pour une transaction.

La sécurité des portefeuilles est une vulnérabilité universelle omniprésente dans tous les systèmes DeFi et de crypto-monnaie. Les mêmes risques s'appliquent aux transactions centralisées.

À mesure que l'espace DeFi arrive à maturité, les développeurs de dApp peuvent commencer à déployer des mesures de sécurité similaires utilisées par les grandes bourses et les dépositaires institutionnels. Il s'agit notamment de modules de sécurité matérielle tels que les coffres-forts de Ledger ou de l'informatique multipartite comme les Fireblocks.

Cependant, selon les recherches de Blec, ces mesures n'ont pas encore été mises en place.

Centralisé

La question de la sécurité des portefeuilles est liée à un sujet plus large dans le domaine de la DeFi, qui est le risque de centralisation. Malgré leur nom, de nombreuses applications DeFi sont exploitées par une entité contrôlée de manière centralisée.

Le développeur Ameen Soleimani l'a souligné dans un article de blog l'année dernière, en utilisant Compound comme étude de cas pour illustrer comment les utilisateurs DeFi peuvent s'appuyer sur des entités centralisées sous contrôle de plusieurs manières.

Une partie du post Soleimani explique ce que beaucoup de la communauté des crypto-monnaies connaissent déjà: quiconque a accès à la clé d'administration composée peut drainer tout le pool de prêts de la plateforme.

Cependant, il existe un autre problème avec les accords de prêt.

Le composé utilise une métrique appelée «utilisation» qui décrit le pourcentage des fonds hypothécaires qui ont été prêtés à un moment donné. Plus le pourcentage est élevé, plus le risque de déclencher une crise de liquidité est élevé. Soleimani appelle cela le «risque de fuite des banques».

Si le taux d'utilisation est de 99% et que plus de 1% des prêteurs souhaitent extraire leur DAI, Compound n'aura pas suffisamment de DAI disponible pour répondre à la demande d'extraction.

Les composés réagissent aux risques grâce à leurs modèles de taux d'intérêt, qui sont ajustés en fonction de l'utilisation. Cependant, cette méthode n'est pas infaillible. En 2019, les composés ont été contraints de mettre à niveau le modèle de taux d'intérêt précisément parce que l'utilisation a atteint 99%.

Comme l'a souligné Soleimani, les utilisateurs composites comptent sur les opérateurs dApp pour prendre ces mesures chaque fois que le taux d'utilisation approche 100%. Sinon, les utilisateurs risquent de ne pas pouvoir retirer de fonds.

L'année dernière, la plateforme de trading dYdX a également fait face à des accusations de contrôle centralisé lorsqu'elle a forcé tous les utilisateurs à passer de DAI à SAI. Qu'elles soient convenues ou non, ces questions indiquent que la dApp DeFi est sous un certain contrôle de son entité centralisée.

Manipulation du marché

Étant donné que DeFi n'est actuellement pas réglementé, le marché reste vulnérable aux stratégies de manipulation. Beaucoup de ces stratégies sont bien connues dans le secteur financier traditionnel, mais sont fortement réglementées.

Plomb

Le trading préemptif est une stratégie que les traders utilisent pour effectuer des transactions rentables sur la base d'informations qui ne sont pas encore disponibles dans le domaine public. Dans la blockchain, sa forme est légèrement différente. Lorsque les transactions en attente attendent d'entrer dans un bloc et d'obtenir une confirmation, elles sont mises en file d'attente dans le pool de mémoire.

Une fois dans le pool de mémoire, tout opérateur peut voir les transactions en file d'attente et accéder à ses propres transactions en s'assurant que ses coûts de gaz sont plus élevés. De cette façon, par rapport à la première transaction, le mineur est plus susceptible de choisir de l'inclure dans le bloc suivant.

Plusieurs exemples de premier plan ont été trouvés dans DeFi. Une étude menée par des universitaires de l'Université Cornell en 2019 a révélé que des robots d'arbitrage menaient des «  enchères de gaz prioritaires '' avec des mineurs d'Ethereum, qui font essentiellement une offre pour les prix du gaz les plus élevés afin de garantir que leurs transactions soient priorisées.

L'étude souligne que Bancor et Uniswap sont deux exemples de DEX vulnérables à de telles attaques politiques. Les deux projets ont pris des mesures pour éliminer ce risque, notamment en fixant des limites de frais de gaz et en permettant aux utilisateurs de spécifier le glissement maximal autorisé dans les transactions. Bancor aurait également embauché un employé de premier plan pour les aider à résoudre le problème.

La plateforme dérivée décentralisée Synthetix est également devenue victime de robots préventifs. À la fin de l'année dernière, un utilisateur de Reddit nommé Onyx a accusé Synthetix de supprimer le solde. L'utilisateur a déployé un robot d'arbitrage qui a exploité avec succès 11,5 milliards de dollars de vulnérabilités de pointe.

Dans ce cas, après que le projet a fourni une échappatoire aux primes, l'attaquant a rendu les fonds à Synthetix, mais a continué à utiliser son bot pour attaquer le système. Par la suite, lorsque Synthetix a utilisé les propres stratégies des traders pour traiter avec eux pour effacer l'un des jetons "synthé" de la plate-forme, vaincre le bot et réduire le solde de leur compte à zéro, la relation entre les deux parties s'est détériorée.

Opération Oracle

La blockchain s'appuie sur Oracle pour obtenir des informations auprès de sources externes. Dans DeFi, la plus grande dépendance à Oracle est l'information sur les prix. La blockchain Ethereum elle-même ne peut pas déterminer le prix d'Ethereum, mais le marché. Par conséquent, les données de prix sont fournies par Oracle. Oracle peut être un DEX tel que Uniswap, ou la moyenne de plusieurs DEX ou échanges, ou un service Oracle tel que Chainlink.

Lorsque la DeFi dApp utilise un seul échange et peut même utiliser deux échanges comme oracles, le fonctionnement d'Oracle devient un risque. Les traders peuvent manipuler les informations de prix fournies par Oracle en négociant une transaction suffisamment importante pour contrôler le prix.

Moins un échange est liquide, plus il est facile de manipuler les prix. Les traders peuvent ensuite négocier un deuxième effet de levier sur la manipulation des prix pour s'assurer qu'ils obtiennent le plus de bénéfices.

La récente attaque contre bZx a utilisé une variété de stratégies sophistiquées en couches pour retirer des fonds de la bourse Fulcrum, y compris la manipulation d'Oracle. Dans le cadre d'une série de transactions soigneusement planifiées, l'attaquant a manipulé le prix de Synthetix sUSD pour emprunter 6 800 ETH sur bZx.

Dépendance à Ethereum

Bien que l'infrastructure DeFi non-Ethereum commence maintenant à émerger, le fait est que DeFi dépend toujours fortement d'Ethereum.

Il s'avère que l'évolutivité est la plus grande faiblesse d'Ethereum. Même maintenant, sa durée de vie a dépassé cinq ans et la vitesse de transaction est toujours d'environ 15 TPS. De plus, comme les transactions stablecoin dominent le trafic réseau, Ethereum a du mal à suivre.

La mise à niveau ETH 2.0 promise depuis longtemps peut ou non atténuer le problème, mais dans tous les cas, la mise en œuvre complète semble prendre plusieurs années. Donc, jusqu'à présent, la dépendance de DeFi sur Ethereum est toujours sur la liste des bogues.

L'existence de ces problèmes n'est pas nécessairement la raison pour laquelle DeFi a peur. Après tout, bon nombre des mêmes risques existent sur les marchés des crypto-monnaies plus larges et les marchés financiers traditionnels.

Cependant, dans un esprit de «recherche par vous-même», il est essentiel que les utilisateurs comprennent les risques liés à l'investissement de fonds dans les crypto-monnaies et les applications connexes et adoptent une approche prudente pour gérer ces risques.

Source: compilé à partir de CRYPTOBRIEFING par 0x. Le droit d'auteur appartient à l'auteur original et ne peut être reproduit sans autorisation Cliquez pour continuer la lecture