mardi, mai 14, 2024

ThePressFree

Blog d'actualité

Crypto monnaie 

Les escrocs ont déjà volé plus d’un milliard de dollars en crypto-monnaie cette année • The Register

ThePressFree Aucun commentaire


Le FBI a exhorté les gens à faire preuve de prudence et à faire des recherches approfondies sur un fournisseur DeFi – financement décentralisé – avant d’y investir votre argent, après que plus d’un milliard de dollars aient été volés à ces fournisseurs en trois mois.

Dans une alerte cette semaine, citant des chiffres de la société de recherche sur la blockchain Chainalysis, le gouvernement fédéral a déclaré que 1,3 milliard de dollars de crypto-monnaies avaient été siphonnés au total entre janvier et mars 2022 seulement, et que 97 % de ce montant avait été retiré des tenues DeFi. En mai, Chainalysis a augmenté ce chiffre à 1,68 milliard de dollars pour les quatre premiers mois de l’année.

Le FBI souhaite que les gens réalisent les risques, obtiennent des conseils financiers professionnels en cas de doute et fassent leurs devoirs sur la sécurité et les pratiques générales des fournisseurs DeFi. Et par fournisseur DeFi, nous entendons tous des échanges, des marchés et des sites similaires où vous pouvez acheter, vendre, échanger et prêter des crypto-monnaies et d’autres actifs numériques.

L’avertissement du bureau intervient après une série de cyber-vols contre ces types de plates-formes, y compris un coup de 100 millions de dollars sur Harmony (qui aurait été réalisé par la Corée du Nord), un vol estimé à 200 millions de dollars de BitMart et un braquage de 130 millions de dollars de Cream Finance .

Selon Chainalysis, les Nord-Coréens ont connu leur plus grande année à ce jour pour le vol de crypto-monnaie, avec un transport d’au moins 840 millions de dollars jusqu’à présent en 2022.

« Les données montrent que renforcer les défenses des protocoles DeFi contre les pirates ne consiste pas seulement à établir la confiance avec les utilisateurs afin que DeFi puisse continuer à se développer », a expliqué Chainalysis. « C’est aussi une question de sécurité internationale étant donné que la crypto-monnaie volée par des groupes de piratage nord-coréens est utilisée pour soutenir le développement d’armes de destruction massive par le pays. » Le biz a pointé un document des Nations Unies de 2019 [PDF] pour étayer cet argument.

L’alerte du FBI offre des conseils aux investisseurs qui commencent par des avertissements génériques sur la conduite d’une diligence raisonnable avant d’investir, avant de suggérer ce qui suit :

  • Recherchez les plateformes, les protocoles et les contrats intelligents DeFi avant d’investir et soyez conscient des risques spécifiques liés aux investissements DeFi.
  • Assurez-vous que la plateforme d’investissement DeFi a effectué un ou plusieurs audits de code effectués par des auditeurs indépendants. Un audit de code implique généralement un examen et une analyse approfondis du code sous-jacent de la plate-forme pour identifier les vulnérabilités ou les faiblesses du code qui pourraient avoir un impact négatif sur les performances de la plate-forme.
  • Soyez attentif aux pools d’investissement DeFi avec des délais d’adhésion extrêmement limités et un déploiement rapide des contrats intelligents, en particulier sans l’audit de code recommandé.
  • Soyez conscient du risque potentiel posé par les solutions participatives pour l’identification et la correction des vulnérabilités. Les référentiels de code source ouvert permettent un accès sans entrave à tous les individus, y compris ceux qui ont des intentions malveillantes.

La plupart des plates-formes DeFi sont relativement nouvelles et ont attiré de grands et petits investisseurs. Ils peuvent impliquer plus qu’un simple échange de jetons de base. Par exemple, un grand nombre de ces sites Web et applications permettent aux utilisateurs de créer et d’utiliser des contrats intelligents, qui sont des morceaux de code qui s’exécutent généralement pour effectuer des transactions. Cela signifie que des bogues logiciels générés par les utilisateurs sont désormais présents, qui peuvent être exploités par des voleurs pour voler des pièces ou simplement faire disparaître des actifs. Ensuite, il existe des API pour accéder aux avoirs et envoyer des jetons, ce qui peut mal tourner. La combinaison de technologies sous-testées ou mal mises en œuvre et de volumes d’argent a fait de la scène une cible attrayante pour les cybercriminels.

« Les gens font confiance aux algorithmes et aux protocoles de chiffrement, et seul le temps nous dira s’ils ont raison ou non », a déclaré Jeff Williams, co-fondateur et CTO de la société de cybersécurité Contract Security. Le registre.

« Mais même si elles sont parfaites, les plates-formes DeFi ne se limitent pas à la cryptographie. Ces plates-formes ne sont que des logiciels et nécessitent une authentification de haute sécurité, un contrôle d’accès, une gestion des entrées, une détection et une réponse aux attaques, l’utilisation de l’open source, IaC [infrastructure-as-code] sécurité, et bien plus encore. »

Même les plus grandes institutions financières établies sont aux prises avec des vulnérabilités logicielles, avec en moyenne plus de 30 problèmes graves par application, a affirmé Williams, ainsi « les entreprises DeFi en évolution rapide ont un défi extraordinaire pour sécuriser leurs logiciels ».

Le FBI a déclaré que les cyber-gangs semblaient cibler les contrats intelligents, que l’agence a décrits comme des contrats auto-exécutables dont les termes d’une transaction – convenus par un acheteur et un vendeur – sont écrits directement dans des lignes de code. Ces contrats s’exécutent lorsque les conditions du contrat sont remplies et sont répliqués sur un réseau de blockchain décentralisé et distribué.

L’agence a déjà décrit les méthodes utilisées par les cybercriminels pour frauder les plateformes DeFi, telles que la combinaison de contrats intelligents avec des prêts flash pour voler des millions en quelques secondes. Une plate-forme DeFi appelée Beanstalk Farms a perdu 180 millions de dollars en avril lors d’une telle attaque. Le bureau a également souligné Wormhole, un protocole de connexion de blockchains, perdant 320 millions de dollars en Ether en février en raison d’une vulnérabilité de vérification de signature.

Selon Michael Oglesby, vice-président exécutif des services de sécurité chez le fournisseur de cybersécurité Cerberus Sentinel, les investisseurs doivent faire preuve de diligence dans l’examen des pratiques de cybersécurité des plates-formes DeFi et de leurs mérites financiers et s’appuyer sur des plates-formes bien contrôlées et testées de manière indépendante.

« La croissance explosive et les rendements élevés de l’écosystème DeFi ont incité de nombreux premiers utilisateurs à adopter les technologies de la blockchain, telles que les contrats intelligents », a déclaré Oglesby. Le registre. « Cependant, les premiers investisseurs doivent se méfier. La plupart des systèmes DeFi ont peu de protection ou de filets de sécurité en place pour éviter les pertes catastrophiques dues à une attaque frauduleuse. »

Les opérateurs de plates-formes DeFi doivent mettre en place des analyses, une surveillance et des tests de code en temps réel, et développer des plans de réponse aux incidents qui incluent l’alerte des investisseurs, a déclaré le FBI.

Les avertissements des autorités fédérales sont acceptables, mais les internautes « ont vraiment besoin de beaucoup plus de transparence concernant les protections de sécurité que ces entreprises ont mises en place », a déclaré Williams. « Ce serait un excellent cas d’utilisation pour le nouveau schéma d’étiquetage de sécurité des logiciels grand public créé par le NIST selon le [US President’s] décret exécutif sur la cybersécurité. » ®

Laisser un commentaire