Comment (ne pas) se faire Rekt – DeFi Hacks Explained – Finematics

Please follow and like us:

Intro

Chaque opportunité comporte des risques et DeFi ne fait pas exception. Pour chaque façon dont vous pouvez gagner de l’argent avec DeFi, il semble qu’il existe au moins deux façons de le perdre. Bien que ces risques ne puissent être entièrement évités, avec une gestion prudente des risques et un jugement sensé, vous pouvez au moins réduire vos chances d’être totalement réprimé.

Alors, quelles sont certaines des façons les plus courantes dont les gens perdent de l’argent dans DeFi? Quels sont les différents types de hacks et d’exploits? Et surtout, comment pouvez-vous minimiser vos chances d’être affecté négativement par les hacks à l’avenir? Vous trouverez des réponses à ces questions dans cet article.

Et encore une chose avant de commencer. Cet article est une collaboration entre Finematics et rekt.news.

Rekt News est une plateforme anonyme permettant aux lanceurs d’alerte et aux détectives DeFi de présenter leurs découvertes à la communauté. Ils analysent tous les principaux hacks et exploits et fournissent des commentaires créatifs sur tout ce qui concerne la crypto et la DeFi, dans le but d’éduquer et de divertir leurs lecteurs. Leur site rekt.news contient leurs propres articles ainsi qu’un agrégateur de nouvelles généré par l’IA qui couvre tous les événements récents les plus importants au sein de la crypto et de DeFi en particulier.

Alors, revenons au sujet de l’article, comment puis-je obtenir rekt dans DeFi?

Nous n’aurions pas le temps de couvrir chaque type d’exploit, et bien sûr, de nombreux types restent inconnus, mais il y a quelques techniques qui se produisent régulièrement, et nous allons maintenant examiner quelques exemples.

La traction du tapis

Le «tirage au tapis» est devenu un terme couramment utilisé dans l’ensemble de DeFi, et est maintenant utilisé pour désigner de nombreux types de piratages et d’exploits, mais il fait en fait référence à une technique spécifique consistant à retirer soudainement la majorité des liquidités d’un pool de liquidités.

La perte soudaine de liquidités peut créer une spirale mortelle pour le jeton, car les détenteurs de jetons essaient de vendre le plus rapidement possible afin d’économiser leurs bénéfices.

Le tirage au tapis est généralement le dernier mouvement d’une équipe malveillante et est une forme courante d ‘«arnaque à la sortie», où le protocole supprime toute trace de médias sociaux alors qu’ils tentent de s’échapper avec les fonds.

Comme ce type d’attaque est techniquement très simple, c’est souvent la technique choisie pour les saisies rapides d’argent par les projets à faible effort, mais cela ne signifie pas que les profits sont faibles, et il y a eu plusieurs tirages de tapis majeurs où les utilisateurs ont perdu plusieurs millions. .

Un tel exemple serait le cas de Meerkat Finance, qui après seulement une journée d’opération, était robuste pour 13 millions de busd et environ 73 000 BNB, totalisant environ 31 millions de dollars à l’époque.

Si un pool de liquidités important est utilisé dans un projet, l’équipe de projet ne doit pas avoir la capacité de récupérer ces actifs. Si c’est le cas, vous placez votre confiance dans l’équipe du projet.

Au départ, Meerkat Finance n’avait pas cette capacité, cependant, peu de temps avant l’attaque, Meerkat Finance Deployer a «amélioré» 2 de leurs propres coffres, se donnant l’ultime porte dérobée dans les coffres.

Comment éviter de se faire tirer un tapis?

Vérifiez comment la liquidité est bloquée, y a-t-il un délai, y a-t-il un multisig?

Faites vos recherches sur le projet, découvrez qui le soutient et quel est le but du projet.

L’équipe est-elle connue? Si tel est le cas, que pouvez-vous en savoir? Prouver l’identité en ligne devient de plus en plus difficile et les escrocs se tournent vers des méthodes inhabituelles pour gagner la confiance des autres, comme ce fut le cas avec DeTrade Fund, que certains soupçonnaient d’avoir utilisé la technologie deepfake pour créer une vidéo d’un faux PDG. Cette histoire a été couverte par rekt.news (Deepfake – A Scam so Surreal).

D’un autre côté, si vous ne trouvez aucune information sur qui est derrière le projet, rappelez-vous qu’une équipe anonyme n’est pas nécessairement une mauvaise chose, car le fondateur de Bitcoin reste anonyme à ce jour.

Exploit économique / Prêt Flash

Il y a eu une période où il semblait que chaque semaine apportait un nouveau hack DeFi, et les mots «prêt flash» n’étaient jamais loin de la scène.

L’association des prêts flash avec des «hacks et exploits» a amené de nombreux membres de la communauté à croire que leur impact était uniquement négatif.

Cependant, il convient de rappeler que ces transactions étaient déjà possibles pour les baleines ayant de gros comptes, et que les prêts flash en eux-mêmes ne sont pas un outil malveillant – ils donnent simplement accès à de grandes quantités de financement dans un laps de temps très court. Ce financement peut ensuite être utilisé pour profiter des failles du code, ou pour manipuler les prix et tirer profit de l’arbitrage.

Les prêts flash sont des prêts non garantis et non garantis qui doivent être remboursés avant la fin de la transaction blockchain; s’il n’est pas remboursé, le contrat intelligent annule la transaction, de sorte que c’est comme si le prêt n’avait jamais eu lieu en premier lieu.

Étant donné que le contrat intelligent pour le prêt doit être exécuté dans la même transaction qu’il a été prêté, l’emprunteur doit utiliser d’autres contrats intelligents pour effectuer des transactions instantanées avec les fonds prêtés avant la fin de la transaction.

Si vous souhaitez en savoir plus sur les prêts flash, consultez cet article ici.

La plupart des attaques de prêt flash impliquent la manipulation du prix du jeton en utilisant une grande quantité de capital.

Un exemple d’attaque majeure de prêt flash serait Harvest Finance, qui a perdu 33,8 millions de dollars au profit d’un attaquant en octobre 2020.

fUSDT a chuté de 13,7% et $ FARM a chuté de 67% en deux heures alors que le pirate informatique a contracté un prêt flash de 50 millions de dollars USDT, puis a utilisé le pool Curve Finance Y pour échanger des fonds et étirer les prix des pièces stables de manière disproportionnée.

Les actions suivantes ont eu lieu dans une période de 7 minutes.

  1. Prenez un prêt flash USDT de 50 millions de dollars
  2. Échangez 11,4 millions USDC en USDT -> provoquant une hausse du prix USDT
  3. Déposez 60,6 millions USDT dans Vault
  4. Échangez 11,4 millions USDT en USDC -> Le prix USDT baisse
  5. Retirer 61,1 millions USDT de Vault -> résultant en un bénéfice de 0,5 million USDT
  6. Rincer et répéter 32 fois. (sans aucun test préalable)
  7. Conversion en renBTC et sortie en BTC et ETH via Tornado Cash (un service qui permet d’effectuer des transactions anonymes sur Ethereum, couvrant ainsi les traces de l’attaquant)

L’attaquant a pu retirer plus d’USDT à l’étape 4 en raison de la modification du prix de l’USDT. Comme le prix de l’USDT était plus bas au moment du retrait, leurs actions représentent plus d’USDT du pool Vault.

Environ 4 cycles peuvent s’inscrire dans une limite de gaz de 10 m, et bien que le profit sur chaque cycle soit inférieur à 1%, ~ 500 000 $ par répétition s’additionnent rapidement.

Les prêts flash sont souvent utilisés pour manipuler les prix, ce qui permet un arbitrage là où cela ne serait pas possible autrement. Pour éviter les attaques de manipulation des prix des prêts flash, les protocoles doivent chercher à utiliser des oracles décentralisés fiables.

Les prêts flash peuvent également être utilisés pour d’autres méthodes d’attaque telles que la rentrée, le front-running ou l’arbitrage.

Arbitrage

L’arbitrage consiste à tirer parti des différences de prix entre les différents marchés afin de générer un profit. Ces types d’opportunités sont particulièrement courants sur les marchés immatures tels que le DeFi et la crypto. Les opportunités d’arbitrage ont tendance à diminuer à mesure que la liquidité augmente et que le marché devient plus efficace.

Si un pool est manipulé (avec des prêts flash par exemple) pour laisser une marge d’arbitrage, cela peut également être considéré comme un exploit, car les fournisseurs de liquidité peuvent finir par perdre leurs fonds, comme ce fut le cas avec Saddle Finance.

Lors de leur lancement en janvier de cette année, au moins trois arbs majeurs ont pris le contrôle de 7,9 BTC (275 735 $) des premiers fournisseurs de liquidité en 6 minutes, malgré leur affirmation «d’avoir résolu le problème du glissement».

4.01 BTC 139961 $ 19-jan-2021 04:06:54 + UTC

0,79 BTC $ 27,573 Jan-19-2021 04:08:46 PM + UTC

3.11 BTC 108548 $ 19 janv.2021 04:12:37 PM + UTC

Bien qu’il ne s’agisse que d’arbitrage, les utilisateurs ont tout de même perdu, car Saddle Finance n’a pas été en mesure de les protéger des arbitragistes, qui achetaient et vendaient simplement, dans les limites du code.

Cela nous amène à l’une des questions courantes concernant la perte de fonds dans DeFi

«Était-ce un piratage ou était-ce un exploit?»

DeFi est toujours un nouveau concept, et l’ensemble du secteur est une expérience en direct, testant de nouvelles idées alors que nous construisons un nouveau système financier. Cela signifie que des failles se trouvent souvent dans le code en direct, et lorsque ces failles peuvent être utilisées pour retirer des fonds sans rien manipuler de force, alors peut-être que c’est mieux appelé «un exploit».

Cependant, cet étiquetage pourrait être appliqué à tous les hacks, car ils ne peuvent fonctionner qu’avec le code qui a été écrit. Que nous les appelions un hack ou un exploit, le résultat final est le même. S’il existe des échappatoires, quelqu’un finira par en profiter, et nous ne pouvons pas faire grand-chose pour y mettre fin.

Même les audits de sécurité ne garantissent pas la sécurité.

Audits

rekt.news classe également chaque hack et exploit dans le classement rekt.news, qui montre non seulement combien a été volé au protocole en valeur monétaire à ce moment-là, mais aussi qui a audité le protocole avant le hack.

Si nous regardons le classement rekt, nous pouvons voir que la majorité des protocoles piratés (ou exploités) avaient en fait un audit de sécurité terminé avant l’attaque. Cela prouve qu’un audit n’est pas une garantie de sécurité et que les cabinets d’audit peuvent également échouer.

Le classement montre qui a audité le morceau de code spécifique qui a été exploité.

Selon le classement, les sociétés de sécurité les plus notoires sont actuellement; Peckshield avec 3 audits ratés, Certik avec 2 et Quantstamp également avec 2.

La plupart des articles les plus récents de rekt.news couvraient les protocoles audités, montrant qu’en fin de compte, il y a très peu de différence entre un protocole audité et non audité.

Les utilisateurs font souvent l’erreur de croire qu’un audit de sécurité peut couvrir un protocole entier pour toujours, cependant, tous les protocoles DeFi sont pleins de pièces mobiles, et même si un protocole est audité de manière très approfondie, une seule petite mise à jour peut rendre l’audit inutile.

Résumé

Alors, que pensez-vous des hacks dans DeFi? Avez-vous déjà été touché par l’un d’entre eux?

N’oubliez pas non plus de consulter rekt.news pour plus de contenu comme celui-ci.

Si vous avez aimé lire cet article, vous pouvez également consulter Finematics sur Youtube et Twitter.


Crédit: Lien source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *