Le « Defender » d'OpenZeppelin offre aux équipes DeFi une arme contre les attaques de prêts flash

OpenZeppelin, une société de logiciels et de sécurité de Cryptomonnaie , vient de publier une suite logicielle pour les projets de Finance décentralisée (DeFi) luttant contre attaques de prêts flashet autres exploits.

Defender est une suite logicielle qui fournit aux équipes des alertes lorsqu'un exploit se produit, ainsi que des scripts automatisés pour répondre à cet exploit en temps réel.

Depuis leur apparition l'été dernier, les applications de yield farming et autres Marchés DeFi ont envahi la blockchain Ethereum et attiré des milliards de capitaux. Ces gisements de capitaux sont également devenus des viviers lucratifs pour les cyberattaques.

L'exploit le plus courant est sans doute le prêt flash, où un attaquant emprunte des jetons auprès de plusieurs pools de prêt simultanément et utilise chaque prêt pour rembourser les autres, tout en utilisant l'excédent pour extraire de la valeur sur d'autres Marchés. Pour garantir une attaque rapide, les attaquants paient des frais de transaction bien supérieurs à la moyenne.

De Yearn à Compound en passant par Cream, les plateformes financières décentralisées ont collectivement perdu près de 150 millions de dollars à cause de ces exploits depuis 2020.

Sur le même sujet : Tout ce que vous avez toujours voulu savoir sur l'attaque « Flash Loan » de la DeFi

La suite Defender, a déclaré Jonathan Alexander, directeur technique d'OpenZeppelin, à CoinDesk, est destinée à atténuer les effets de ces attaques et à donner aux équipes des outils automatisés pour y répondre au fur et à mesure qu'elles se produisent, ce qui pourrait aider à réduire les pertes à l'avenir.

Si vous détectez quelque chose, vous pouvez en informer l'équipe, mais vous pouvez aussi automatiser certaines actions. Vous pouvez appeler une fonction ONE' administration pour suspendre le contrat intelligent ou déplacer des jetons. La surveillance est une excellente pratique… mais vous pouvez désormais réagir par des actions automatisées.

Comment fonctionne Defender ?

Selon Alexander, la clé pour que Defender garantisse un temps de réponse adéquat à une exploitation réside dans la surveillance et la formation des équipes face aux exploits, ainsi que dans la fourniture de code prêt à être déployé pour contrer l'attaque. Ces scripts pré-codés permettent de mettre en pause ou de mettre à niveau un contrat intelligent, ou d'effectuer des tâches automatisées plus simples et quotidiennes, comme le relais de transactions.

Deux des fonctionnalités les plus importantes, Defender Sentinel et Defender Admin, pourraient aider à mettre un terme aux attaques de prêts flash qui ont escroqué des centaines de millions de jetons au cours de l'année écoulée.

Dans un exploit de 11 millions de dollarsLes attaquants de Yearn ont manipulé le taux de change deDAI dans les coffres de Yearn en contractant des prêts flash sur Aave pour USDT et USDC; ceux-ci ont ensuite été déposés dans des pools Curve Finance pour falsifier le taux de change impliquant USDT, USDC et DAI, ce qui a affecté le prix du DAI dans les coffres Yearn, provoquant des liquidations et des pertes.

Defender identifierait ces attaques au moment opportun en analysant les blocs à la recherche de frais de transaction élevés. En cas d'irrégularité, l'équipe recevrait une notification (sur Slack, par exemple) et pourrait choisir ONEun des scripts automatisés de Defender pour réagir à l'attaque. ONEun d'eux pourrait par exemple interrompre toutes les opérations sur la chaîne ou mettre des adresses sur liste noire.

Actuellement, Defender ne peut T bloquer un exploit avant qu'il ne se produise, mais il pourrait être utilisé pour l'arrêter avant que l'exploiteur ne s'enfuie avec une quantité importante de cryptomonnaies. OpenZeppelin espère publier prochainement une version capable de suivre les transactions malveillantes dans le mempool d'Ethereum (un réservoir virtuel de transactions), mais cela prendra du temps.

« Nous surveillons bloc par bloc. Dès qu'un bloc est miné, les Sentinelles s'activent et lancent des tâches automatiques, ce qui représente un temps de réaction de quelques secondes. C'est encore après coup », a expliqué Alexander, « mais une réaction QUICK lors d'exploits antérieurs aurait pu permettre d'économiser des millions de dollars. »

Alors qu'auparavant, la coordination de la réponse à ces attaques reposait sur les réseaux sociaux et les plateformes de messagerie, les correctifs prenaient de quelques minutes à quelques heures. Si Defender fonctionne comme prévu, les minutes et les secondes d'avance qu'il confère aux équipes dans cette course contre la montre blockchain pourraient représenter des millions d'économies.

Dans une démonstration présentée à CoinDesk utilisant un état historique de la blockchain Ethereum , OpenZeppelin a reproduit un ancien exploit DeFi pour illustrer la réaction de Defender. Alexander a expliqué que n'importe quelle équipe pouvait reproduire ses anciens exploits grâce au logiciel pour voir comment les choses auraient pu se passer différemment.

Un potentiel « changement de donne » pour l’atténuation des prêts flash

OpenZeppelin travaille déjà avec des acteurs comme Yearn, DYDX, Synthetic et d'autres pour faire fonctionner leur solution dans la nature.

« Nous sommes particulièrement enthousiastes à l'idée de pouvoir mettre en œuvre l'automatisation, sachant que les meilleures pratiques de sécurité sont intégrées. Surtout, Defender nous a aidés à surmonter les inconnues de la sécurité afin que nous puissions KEEP à progresser », a déclaré Aparna Krishnan, cofondatrice d'Opyn, une plateforme d'options DeFi, qualifiant ce nouvel outil de « révolutionnaire ».

Brendan Asselstine, le directeur technique du protocole DeFi PoolTogether, a déclaré que sa plateforme utilise Defender « pour automatiser plusieurs aspects de notre protocole » et « s'appuie sur lui comme un élément clé de notre infrastructure ».

Compte tenu du taux d’attaques de prêts flash sur l’écosystème DeFi, maintenant que Defender est lancé, il ne faudra peut-être pas longtemps avant de voir ses capacités en action.