Récapitulatif des plus grands piratages de DeFi en 2021
Compound Finance est l’une des dernières victimes des incidents de piratage de DeFi en 2021. Le 30 septembre, son bug de distribution de jetons errants dans la proposition 062 a exposé une faille dans laquelle 70 à 85 millions de dollars de jetons COMP excédentaires ont été distribués à tort aux utilisateurs.
Quelques jours plus tard, 65 millions de dollars supplémentaires ont été placés dans un coffre-fort vulnérable, ce qui représente un risque d’au moins 150 millions de dollars en jetons COMP. Mais, bien que Compound ait pu remédier à l’ensemble de la situation, cela montre à quel point le secteur de la finance décentralisée (DeFi) peut parfois être vulnérable en raison de sa naïveté.
L’année dernière, la valeur totale bloquée (TVL) dans le DeFi était à peine 5% de ce qu’elle est aujourd’hui. valeur actuelle – 255 milliards de dollars. Ce changement marque une croissance explosive de 1686%. Même avec la débâcle du Compound, et plus récemment avec le commerce décentralisé. plateforme BXH a perdu 139 millions de dollars à la suite d’une attaque due à une fuite de la clé d’administration, TVL a en fait augmenté au cours du mois dernier, s’appréciant de 14,27%.
L’une des raisons pour lesquelles les investisseurs ont afflué vers les protocoles DeFi est la recherche de rendements plus élevés. Les taux d’intérêt très bas de 2020, sans cadre clair pour une augmentation, ont poussé les investisseurs à chercher d’autres moyens de placer leur argent. Le verrouillage des crypto-actifs dans les protocoles DeFi et la fourniture de liquidités pour ces services sont devenus une option attrayante, car elle offre des rendements plus intéressants. Il s’en est suivi un boom de l’agriculture de rendement en 2020 qui a prévalu jusqu’à cette année.
Compter les incidents
La popularité croissante de DeFi est une arme à double tranchant pour le jeune secteur et l’ensemble de l’espace des crypto-monnaies dans son ensemble. Depuis 2012, 534 incidents de piratage de blockchain ont eu lieu, avec 169 événements à venir pour la seule année 2021, selon la société chinoise de cybersécurité Slow Mist. Les piratages gagnent en sophistication et ciblent divers domaines de l’espace.
Néanmoins, le plus grand piratage à avoir jamais eu lieu s’est produit en 2021 et a été réalisé par un pirate inconnu sur le protocole cross-chain Poly Network. Le résultat a été un équivalent de 610 millions de dollars en jetons volés, dépassant MtGox et Coincheck. L’attaque a empoché environ 273 millions de dollars du réseau Ethereum, 85 millions de dollars en USD Coin (USDC) du réseau Polygon et 253 millions de dollars de Binance Smart Chain. Elle a également emporté des montants considérables de renBTC, de bitcoin enveloppé (wBTC) et d’éther enveloppé (wETH).
L’incident avec Poly Network est l’un des nombreux cas de piratage de DeFi en 2021. Poly Network a eu la chance de récupérer tous les fonds. Cream Finance, en revanche, n’a pas eu cette chance. Le protocole de prêt décentralisé arrive loin derrière, et l’attaque qu’il a subie – à deux reprises cette année – a fait disparaître près de 150 millions de dollars, qu’il tente toujours de récupérer. Dans l’ensemble, le montant total de l’argent perdu en raison du piratage de la blockchain cette année s’élève à près de 7 milliards de dollars, ce qui représente une augmentation de 2,5 milliards de dollars par rapport à l’année dernière.
Appels à l’audit
Poly Network, Compound et Cream Finance se sont hissés dans le trio de tête par le nombre de fonds touchés (pour un total de 906 millions de dollars). À l’instar de Cream Finance, d’autres protocoles notables ont été exploités plus d’une fois au cours de la même année, comme THORChain et Value DeFi.
De même, bien que négligeable (1,5 million de dollars) par rapport aux fonds affectés du reste des autres victimes, Merlin Labs, un optimiseur de rendement basé sur BSC, a été attaqué trois fois – d’abord deux fois au cours de la même semaine, puis une fois de plus un mois plus tard. En outre, ce qui est surprenant, c’est qu’il a été audité par Hacken 11 jours avant l’attaque.
Les experts en sécurité recommandent qu’un contrat intelligent soit soumis à un audit, généralement par des auditeurs indépendants. Un audit pourrait aider à détecter et éventuellement à rectifier les vulnérabilités intelligentes du code et à vérifier la fiabilité des interactions du contrat intelligent.
Le PDG de Kava Labs, Brian Kerr, a expliqué à Cointelegraph en mai 2020 à quel point il est essentiel pour quiconque veut utiliser un protocole DeFi de vérifier d’abord les audits et les examens par les pairs. Mais même dans ce cas, il met en garde contre les risques techniques et de marché associés puisque le secteur, encore une fois, est encore nouveau.
Télécharger le 34ème numéro de la lettre d’information bihebdomadaire de Cointelegraph Consulting dans son intégralité, avec des graphiques et des signaux de marché, ainsi que des nouvelles et des aperçus d’événements de collecte de fonds.
Parmi les projets qui ont été victimes d’attaques cette année, seuls une quinzaine de protocoles DeFi ont été audités sur les 40 touchés. Mais il est intéressant de noter que les fonds affectés pour les protocoles audités étaient nettement inférieurs à ceux qui n’ont pas été audités. Pour chaque entreprise auditée, le montant de la perte était inférieur de près de 60 % à celui des entreprises non auditées. Dans l’ensemble, 20,3 % des fonds touchés dans tous les protocoles piratés cette année provenaient de protocoles audités, tandis que 79,67 %, soit environ 1,3 milliard de dollars, provenaient de protocoles non audités.
Les quatre principales raisons pour lesquelles les protocoles DeFi sont piratés sont les erreurs de codage, l’incompétence des développeurs, l’utilisation abusive de protocoles tiers et les erreurs de logique commerciale. L’incompétence du développeur, qui est également une conséquence directe des erreurs de codage, est la plus courante et peut-être la plus dangereuse. Les développeurs insuffisamment qualifiés qui se précipitent pour lancer un projet sans vérification rigoureuse par un tiers peuvent être plus sensibles aux exploits.
C’est la raison pour laquelle il existe une pression constante pour une mesure supplémentaire dans l’amélioration des protocoles de sécurité dans l’industrie. Les audits, en particulier les audits de sécurité des contrats intelligents et les audits secondaires, ne sont que deux façons d’y parvenir. Comme l’a dit Kerr, la diligence technique d’un investisseur est également justifiée en examinant minutieusement un protocole DeFi avant d’investir.
Néanmoins, la lumière au bout du tunnel est que ces piratages pourraient être essentiels pour faire progresser le secteur DeFi. L’analyste financier en chef de CipherTrace, John Jefferies, a déclaré à Cointelegraph en août dernier que ces crimes allaient accélérer l’acceptation de la procédure de connaissance du client, ou KYC, en particulier avec les échanges décentralisés, ouDEX, qui peuvent être essentiels pour obtenir l’approbation réglementaire.
Au fur et à mesure que le DeFi mûrit, en particulier avec l’avènement des blockchains de niveau 1 qui rivalisent avec Ethereum, les piratages récents ne sont peut-être que la partie émergée de l’iceberg, et les protocoles mal conçus et non vérifiés pourraient avoir un tas d’ennuis.
La lettre d’information Market Insights de Cointelegraph partage nos connaissances sur les fondamentaux qui font bouger le marché des actifs numériques. La lettre d’information se penche sur les dernières données concernant le sentiment des médias sociaux, les mesures sur la chaîne et les produits dérivés.
Nous passons également en revue les nouvelles les plus importantes du secteur, notamment les fusions et acquisitions, les changements dans le paysage réglementaire et les intégrations de blockchain d’entreprise. Inscrivez-vous dès maintenant pour être le premier à recevoir ces aperçus. Toutes les éditions précédentes de Market Insights sont également disponibles sur Cointelegraph.com.