Les exploits de la DeFi ne peuvent T être imputés aux prêts flash, affirment les leaders du secteur

Il y a neuf mois, dans un centre de congrès de Denver, un stand était vide.

Encombrée d'autocollants de jetons, la table était censée accueillir les représentants physiques du protocole de Finance décentralisée (DeFi) bZx. Elle est cependant restée vide, l'équipe peinant à comprendre les forces numériques qui perturbaient son jeune projet.

bZx, comme ils allaient le découvrir, étaitLe « patient zéro » du prêt flash de 2020.

Les nouveaux cas n'ont T cessé depuis. Prenons l'exemple de novembre : 2 millions de dollars d'Akropolis, alors 3,3 millions de dollars de la Cheese Bank, suivi de 6 millions de dollars de Value Financeet enfin7 millions de dollars du Origin Protocol.

Les prêts flash restent le fil conducteur de toutes ces attaques récentes. Ces outils, issus de la DeFi, permettent à un investisseur avisé de contracter des prêts non garantis et d'accumuler un effet de levier derrière une position. Par exemple, lundiAttaquant du Origin Protocola tiré 70 000ETH Prêt de la plateforme de produits dérivés décentralisée DYDX. Cela a permis à l'attaquant d'augmenter le montant du butin récupéré du projet.

Pourtant, même s'ils peuvent être le lien entre ces exploits, les prêts flash n'en sont pas la cause en eux-mêmes, ont déclaré les dirigeants de l'industrie à CoinDesk.

Manipulation d'Oracle et prêts flash

Il n'est peut-être même pas juste de caractériser les récents exploits DeFi comme des « attaques de prêts flash », a déclaré le cofondateur de Chainlink, Sergery Nazarov, à CoinDesk dans un e-mail.

Nazarov a déclaré que les prêts flash ne sont, au CORE , que des sommes forfaitaires injectées dans des positions commerciales fructueuses. Le véritable problème réside dans la mauvaise conception des projets DeFi.

« Bien que beaucoup tentent d'expliquer cette tendance par des prêts éclair, la plupart de ces exploits auraient pu être commis par n'importe quel acteur bien capitalisé. Un prêt éclair ne fait que transformer temporairement n'importe qui en acteur bien capitalisé », a déclaré Nazarov.

Sur le même sujet : Tout ce que vous avez toujours voulu savoir sur l'attaque « Flash Loan » de la DeFi

Les projets DeFi sont des contrats intelligents déployés sur la blockchain Ethereum . Ils nécessitent des informations externes, notamment des données de tarification, pour exécuter les actions intégrées à chaque contrat.

Ces informations tarifaires sont sujettes à des distorsions simplement en raison de la manière dont la blockchain Ethereum traite les transactions, c'est-à-dire toutes les 15 secondes. Les prix peuvent fluctuer dans tous les sens en 15 secondes, ce qui oblige les contrats intelligents à agir sur des données obsolètes.

De plus, de nombreuses applications DeFi s'appuient sur des oracles de tarification internes créés par des réserves de jetons, des flux de tarification non décentralisés ou d'autres solutions ad hoc. Par exemple, Harvest Finance s'est appuyé sur un autre projet DeFi, Curve Finance, pour fixer le prix de ses pools de jetons.

Dans des cas comme Harvest Finance, l’interopérabilité est devenue une dépendance négative. prêt flash d'une valeur de 50 millions de dollars Les prix des actifs ont temporairement dévié de la valeur de marché, créant une opportunité d'arbitrage. Un projet doté d'un système de tarification plus robuste n'aurait T été victime de cet exploit, selon la théorie.

Les audits sont-ils suffisants ?

Un autre point que les développeurs commencent à comprendre est que les audits de code à eux seuls ne garantissent T la sécurité d’un projet DeFi.

Interrogé par CoinDesk via WhatsApp, Richard Ma, PDG de Quantstamp, a déclaré que les développeurs doivent comprendre les Marchés eux-mêmes, peut-être plus que le code qu'ils déploient sur la blockchain Ethereum . Quantstamp a audité ou conseillé plusieurs projets DeFi majeurs, tels que Curve Finance, MakerDAO et Sushiswap, entre autres.

« Comprendre les produits et la logique métier prend beaucoup plus de temps et est beaucoup plus important qu’une simple revue de code », a déclaré Ma.

En effet, Akropolis a été audité deux fois par deux cabinets distincts, mais a tout de même subi une attaque de réentrée.

Ce type d'attaque se produit lorsque la porte dérobée d'un contrat intelligent est laissée ouverte. L'état du contrat, qui enregistre notamment le nombre de jetons qu'il contient, ne se met pas à jour assez rapidement lorsque des jetons sont retirés, ce qui permet à l'attaquant de transférer plus de jetons que nécessaire. C'est un peu comme un caissier de banque paresseux qui continue de verser des fonds depuis un compte à découvert.

Sur le même sujet : Harvest Finance: une attaque de 24 millions de dollars déclenche une « ruée bancaire » de 570 millions de dollars dans le dernier exploit DeFi

Combiner les redondances d’audit avec l’assurance est une mesure qu’au moins une grande société d’investissement en Cryptomonnaie préconise désormais.

« Nous recommandons à nos sociétés en portefeuille de réaliser plusieurs audits auprès de ONE prestataires », a déclaré Paul Veradittakit, associé de la société de capital-risque Pantera, dans un courriel. « Nous pensons également que les projets et les investisseurs pourraient souhaiter souscrire une assurance pour se protéger. »

Il est également remarquable qu'aucun des principaux projets DeFi n'ait subi d'attaques oracles provoquées par des prêts flash, a déclaré Antonio Juliano, fondateur de DYDX, à CoinDesk dans un message. De nombreux prêts flash utilisés lors d'attaques proviennent de sa plateforme, qui propose le produit gratuitement.

Il a déclaré qu’il y a « un grand fossé entre les projets bien conçus et les autres », un fossé qui se creuse en temps réel par les prêts flash.

« De la même manière que vous ne blâmeriez T Ethereum pour un détail d'implémentation de la chaîne utilisée pour une attaque, la manière dont les prêts flash sont utilisés dans les exploits est la faute des développeurs qui créent des applications non sécurisées, et non des prêts flash eux-mêmes », a déclaré Juliano.