TUSEN Consulting : Raconter les plus gros incidents de piratage DeFi de 2021
Compound Finance n’est que l’une des dernières victimes d’incidents de piratage DeFi en 2021. Le 30 septembre, son bogue de distribution de jetons en itinérance Proposition 062 a révélé une faille dans laquelle 70 millions de dollars à 85 millions de dollars de jetons COMP en excès ont été distribués à tort aux utilisateurs.
Encore 65 millions de dollars ont été placés dans un coffre-fort vulnérable quelques jours plus tard, mettant en danger au moins 150 millions de dollars en jetons COMP. Mais, si Compound a pu remédier à l’ensemble de la situation, il montre à quel point le secteur de la finance décentralisée (DeFi) peut parfois être vulnérable en raison de son émergence.
L’année dernière, la valeur totale verrouillée (TVL) de DeFi n’était que de 5% de sa valeur actuelle de 255 milliards de dollars. Le changement marque une croissance explosive de 1686 %. Même avec la débâcle des composés, et plus récemment avec le commerce décentralisé Plate-forme BXH qui a drainé 139 millions de dollars d’une attaque en raison d’une fuite de clé d’administration, TVL a en fait augmenté au cours du mois dernier, s’appréciant de 14,27%.
L’une des raisons pour lesquelles les investisseurs ont afflué vers les protocoles DeFi est de rechercher des rendements plus élevés. Les taux d’intérêt au plus bas de 2020, qui manquaient de cadre clair pour une hausse, ont incité les investisseurs à rechercher d’autres moyens de parquer leur argent. Verrouiller les actifs cryptographiques aux protocoles DeFi et fournir des liquidités pour de tels services est devenu une option attrayante, car il offre des rendements plus attrayants. Il s’en est suivi un boom de l’agriculture de rendement en 2020 qui a prévalu jusqu’à cette année.
Compter les incidents
La popularité croissante de DeFi est une arme à double tranchant pour la jeune industrie et l’ensemble de l’espace de crypto-monnaie dans son ensemble. Depuis 2012, 534 incidents de piratage blockchain ont eu lieu avec 169 événements à venir rien qu’en 2021, selon la société chinoise de cybersécurité Slow Mist. Les hacks gagnent en sophistication et ciblent divers domaines de l’espace.
Néanmoins, le plus grand piratage jamais réalisé en 2021 et a été réalisé par un pirate inconnu sur le protocole cross-chain Poly Network. Le résultat était l’équivalent de 610 millions de dollars en jetons volés, dépassant MtGox et Coincheck. L’attaque a empoché environ 273 millions de dollars du réseau Ethereum, 85 millions de dollars en USD Coin (USDC) du réseau Polygon et 253 millions de dollars de Binance Smart Chain. Il a également supprimé des quantités importantes de renBTC, de Bitcoin enveloppé (wBTC) et d’Ether enveloppé (wETH).
L’incident avec Poly Network est l’un des nombreux cas de piratage DeFi en 2021. Poly Network a eu la chance de récupérer tous les fonds. Cream Finance, en revanche, n’a pas eu cette chance. Le protocole de prêt décentralisé est loin derrière, et l’attaque qu’il a subie – qui s’est produite deux fois cette année – a anéanti près de 150 millions de dollars et s’efforce toujours de récupérer. Dans l’ensemble, le montant total d’argent perdu à cause du piratage de la blockchain cette année est de près de 7 milliards de dollars, soit une augmentation de 2,5 milliards de dollars par rapport à l’année dernière.
Appels à audit
Poly Network, Compound et Cream Finance se classent parmi les trois premiers en termes de nombre de fonds impliqués (totalisant 906 millions de dollars). Comme Cream Finance, il existe également d’autres protocoles notables où des exploits ont eu lieu plus d’une fois la même année, comme THORChain et Value DeFi.
De plus, bien que négligeable à 1,5 million de dollars par rapport aux fonds restreints du reste des autres victimes, Merlin Labs, un optimiseur de rendement construit sur BSC, a été attaqué à trois reprises – initialement deux fois la même semaine et une fois de plus un mois plus tard. De plus, ce qui est surprenant, c’est qu’il a été audité par Hacken 11 jours avant l’attaque.
Les experts en sécurité recommandent l’audit d’un contrat intelligent, généralement par l’intermédiaire d’auditeurs indépendants. Un audit pourrait aider à détecter et éventuellement à rectifier les vulnérabilités intelligentes dans le code et à vérifier la fiabilité des interactions de contrats intelligents.
Le PDG de Kava Labs, Brian Kerr, a déclaré à TUSEN en mai 2020 à quel point il est essentiel pour quiconque souhaite utiliser un protocole DeFi de vérifier d’abord les audits et les examens par les pairs. Mais même alors, il met en garde contre les risques techniques et de marché associés puisque l’industrie, encore une fois, est encore nouvelle.
Téléchargez le 34e problème Le bulletin d’information bihebdomadaire de TUSEN Consulting dans son intégralité, avec des graphiques et des signaux de marché, ainsi que des nouvelles et des aperçus des événements de collecte de fonds.
Parmi les projets victimes d’attaques cette année, seuls quinze protocoles DeFi ont été audités sur les 40 concernés. Mais il est à noter que les fonds affectés aux protocoles audités étaient significativement inférieurs à ceux qui n’ont pas été audités. Pour chaque entreprise auditée, le montant des pertes était de près de 60 % inférieur à ceux qui n’avaient pas été audités. Dans l’ensemble, 20,3% des fonds alloués à tous les protocoles piratés cette année provenaient de protocoles audités, tandis que 79,67%, soit environ 1,3 milliard de dollars, provenaient de protocoles non audités.
Les quatre principales raisons pour lesquelles les protocoles DeFi sont piratés sont les erreurs de codage, l’incompétence des développeurs, l’abus de protocoles tiers et les erreurs de logique métier. Le plus courant d’entre eux, et peut-être le plus dangereux, est l’incompétence des développeurs, qui est également le résultat direct d’erreurs de codage. Les développeurs sous-qualifiés qui se précipitent pour lancer un projet sans un contrôle tiers rigoureux peuvent être plus sensibles aux exploits.
C’est la raison pour laquelle il y a une pression continue pour d’autres mesures visant à améliorer les protocoles de sécurité dans l’industrie. Les audits, en particulier les audits de sécurité des contrats intelligents et les audits secondaires, ne sont que deux moyens d’y parvenir. Comme l’a dit Kerr, la diligence technique d’un investisseur est également justifiée lors de l’examen d’un protocole DeFi avant d’investir.
Pourtant, la lumière au bout du tunnel est que ces piratages pourraient être essentiels pour faire avancer l’industrie DeFi. L’analyste financier en chef de CipherTrace, John Jefferies, a déclaré à TUSEN en août que de tels crimes déclencheraient une accélération de l’acceptation du processus Know Your Customer, ou KYC, en particulier avec les échanges décentralisés, orDEX, qui peuvent être essentiels pour obtenir l’approbation réglementaire.
À mesure que DeFi mûrit, en particulier avec l’avènement des blockchains de couche 1 en concurrence avec Ethereum, les événements de piratage de ces derniers temps peuvent n’être que la pointe de l’iceberg et les protocoles erronés. conçu et non audité pourrait être en grande difficulté.
La newsletter Market Insights de TUSEN partage notre connaissance des fondamentaux qui animent le marché des actifs numériques. La newsletter plonge dans les dernières données sur le sentiment des médias sociaux, les mesures en chaîne et les dérivés.
Nous passons également en revue les actualités les plus importantes du secteur, notamment les fusions et acquisitions, les changements dans le paysage réglementaire et les intégrations de blockchain d’entreprise. Inscrivez-vous dès maintenant pour être le premier à recevoir ces informations. Toutes les éditions précédentes de Market Insights sont également disponibles sur TUSEN.com.