Il y a neuf mois, dans un centre de convention de Denver, un stand était vide.
Parsemée d’autocollants symboliques, la table était censée contenir les représentants physiques du protocole bZx de la finance décentralisée (DeFi). Il est resté vide, cependant, alors que l’équipe avait du mal à comprendre les forces numériques tordant leur jeune projet.
bZx, comme ils le découvriraient, était le «patient zéro» du flash loan de 2020.
Pour tout comprendre sur le flash loan => les prêts flashs
Les prêts flash restent le fil conducteur de toutes ces récentes attaques. Ces outils natifs de la DeFi permettent à un investisseur averti de contracter des prêts non garantis. Et d’amasser un levier pour une position. Par exemple, l’attaquant du protocole d’origine de lundi a retiré un prêt de 70 000 ETH de la plate-forme de dérivés décentralisée dYdX. Cela a permis à l’attaquant d’augmenter la quantité de butin aspirée du projet.
Pourtant, bien qu’ils puissent être la chaîne reliant ces exploits, les flash loans ne sont pas la cause en eux-mêmes.
Manipulation Oracle et flash loan
Il n’est peut-être même pas juste de caractériser les récents exploits de DeFi comme des «attaques de flash loans», a déclaré le co-fondateur de Chainlink, Sergery Nazarov, dans un e-mail.
Nazarov a déclaré que les flash loans à la base ne sont que des sommes forfaitaires de capitaux jetés sur des positions commerciales réussies. Le vrai problème réside dans les projets DeFi mal construits.
«Alors que beaucoup tentent d’encadrer cette tendance à la suite des flash loans, la plupart de ces exploits pourraient avoir été commis par n’importe quel acteur bien capitalisé. Tout ce qu’un flash loan fait temporairement, c’est faire de quelqu’un un acteur bien capitalisé », a déclaré Nazarov.
Lire la suite: Comprendre les attaque par flash loan et qu’elles sont les protocoles visée => Drainer des millions avec 0 apport
Les projets DeFi sont des contrats intelligents déployés sur la blockchain Ethereum. Ils ont besoin d’informations externes, à savoir des données de tarification, pour exécuter les actions intégrées à chaque contrat.
Ces informations sur les prix sont susceptibles de distorsions simplement en raison de la manière dont la blockchain Ethereum regroupe les transactions – c’est-à-dire toutes les 15 secondes. Les prix peuvent évoluer dans tous les sens en 15 secondes, ce qui oblige les contrats intelligents à agir sur des données périmées.
De plus, de nombreuses applications DeFi reposent sur des oracles de tarification internes créés par des réserves de jetons, des flux de tarification non décentralisés ou d’autres solutions ad hoc. Par exemple, Harvest Finance s’est appuyé sur un autre projet DeFi, Curve Finance, pour fixer le prix de ses pools de jetons.
Dans des cas comme Harvest Finance, l’interopérabilité est devenue une dépendance négative. Un flash loan d’une valeur de 50 millions de dollars a détourné temporairement les prix des actifs de la valeur marchande, créant une opportunité d’arbitrage. Un projet qui avait un système de tarification plus robuste n’aurait pas été la proie de l’exploit, selon la théorie.
Les audits sont-ils suffisants?
Un autre point auquel les développeurs sont confrontés est que les audits de code à eux seuls ne rendent pas un projet DeFi sûr.
Le PDG de Quantstamp, Richard Ma, a déclaré que les développeurs doivent comprendre les marchés eux-mêmes. Peut-être plus que le code qu’ils déploient sur la blockchain Ethereum. Quantstamp a audité ou consulté sur plusieurs projets DeFi de premier plan tels que Curve Finance, MakerDAO et SushiSwap, entre autres.
«Comprendre les produits et la logique métier est beaucoup plus long et important qu’une simple revue de code», a déclaré Ma.
En effet, Akropolis a été audité deux fois par deux cabinets distincts. Mais a tout de même subi une attaque de rentrée.
Ce type d’attaque se produit lorsque la porte dérobée d’un contrat intelligent est laissée entrouverte. L’état du contrat – qui enregistre le nombre de jetons du contrat, entre autres – ne se met pas à jour assez rapidement lorsque les jetons sont supprimés. Ce qui permet à l’attaquant de déplacer plus de pièces que possible. Ce n’est pas différent d’un caissier de banque paresseux qui continue de débourser des fonds d’un compte à découvert.
Lire la suite: Harvest Finance: une attaque de 24 M $ déclenche une « Bank Run » de 570 M $ dans le dernier exploit DeFi
Combiner les redondances d’audit avec l’assurance est une étape que demande au moins une grande société d’investissement en crypto-monnaie.
«Nous recommandons aux sociétés de notre portefeuille d’obtenir plusieurs audits de plus d’un fournisseur», a déclaré Paul Veradittakit, associé de la société de capital-risque Pantera, dans un e-mail. «Nous pensons également que les projets et les investisseurs peuvent vouloir souscrire une assurance pour se protéger.»
Il est également à noter qu’aucun des principaux projets DeFi n’a subi d’attaques d’oracle stimulées par des flash loan, a déclaré le fondateur de dYdX, Antonio Juliano. De nombreux prêts flash utilisés dans les attaques proviennent de sa plate-forme, qui propose le produit sans frais.
Il a dit qu ‘«il y a un grand fossé entre les projets bien conçus et les autres»; une fracture étoffée en temps réel par des prêts flash.
« De la même manière que vous ne blâmeriez pas Ethereum pour un détail d’implémentation de la chaîne utilisée pour une attaque. La façon dont les prêts flash sont utilisés dans les exploits est la faute des développeurs qui créent des applications non sécurisées, pas des flash loans eux-mêmes », Juliano m’a dit.
Crédit: Lien source
Laisser un commentaire