Depuis le début de l’année, l’écosystème de la finance décentralisée (DeFi) est rapidement passé à plus de 12 milliards de dollars en valeur totale verrouillée. Avec cette croissance exponentielle, les acteurs malveillants sont de plus en plus incités à manipuler et à attaquer les protocoles DeFi vulnérables, souvent aux dépens des utilisateurs réguliers.
Nouveau sur la finance décentralisée, c’est par là pour l’explication => la DeFi expliquée
Flash Loan
L’un des outils les plus récents utilisés dans de nombreuses attaques DeFi sont les flashs loan. Un nouveau type de primitive financière qui permet aux utilisateurs d’ouvrir des prêts sans apport. A la seule condition que le prêt soit remboursé dans la même transaction ou qu’il soit annulé. Il s’agit d’un écart important par rapport aux prêts DeFi traditionnels. Ces derniers obligent souvent un utilisateur à sur-garantir un prêt à l’avance avec un apport de valeur supérieur à l’emprunt.
Adelyn Zhou est CMO de Chainlink Labs. où elle dirige le marketing pour Chainlink. un réseau d’oracle décentralisé le plus largement adopté au monde.
La nouveauté d’un flashs loan est qu’il peut temporairement faire de n’importe qui dans le monde un acteur très bien capitalisé. Avec le potentiel de manipuler soudainement le marché. Lors de la récente série d’attaques, nous avons vu des acteurs malveillants utiliser des flashs loan pour emprunter, échanger, déposer et emprunter à nouveau un grand nombre de tockens. Afin qu’ils puissent artificiellement déplacer le prix d’un tocken sur un seul échange. Cette séquence est essentiellement le pied dans la porte, permettant à l’attaquant d’exploiter ensuite les prix anormaux de cet échange.
Pour tout comprendre sur le flash loan => les prêts flashs
Des stratégies gagnantes
Lorsque les prêts flash sont utilisés dans le cadre d’un stratagème malveillant plus large pour manipuler un protocole et voler ses fonds, l’expression «attaque de flashs loan» devient le terme crypto chaud de la semaine. Les médias et les influenceurs Twitter se concentrent sur le fonctionnement du flashs loan, disséquer chaque étape l’acteur malveillant a pris pour sauter de jeton à jeton, protocole à protocole, le tout dans une seule transaction.
Mais l’expression «attaque de flashs loan» ne rend pas compte du problème en question. Les flashs loan ne créent pas de vulnérabilités au sein de la DeFi. Ils révèlent simplement des vulnérabilités qui existent déjà. Les «attaques de flashs loan» ne sont souvent que des attaques contre les oracles. Ces dernière dont les entités qui connectent les applications DeFi en chaîne avec des données hors chaîne. Telles que le juste prix de marché d’un certain actif. Le vrai risque systémique dans l’écosystème DeFi réside dans les oracles centralisés, pas dans les flashs loan.
Oracles
Pour ceux qui sont en marge de la surveillance d’une attaque, il y a quelque chose de fascinant dans les prêts flash. L’idée que n’importe qui peut soudainement contrôler d’énormes sommes d’argent et la déployer de manière nouvelle, exotique et, oui, parfois même malveillante. Cela montre comment cette technologie peut autonomiser l’individu et débloquer des instruments financiers entièrement nouveaux. Plutôt que d’analyser la fonction ultime et la cible du flashs loan. On s’émerveille plutôt de l’ingéniosité de son créateur et de la sophistication de l’attaque. En conséquence, les flashs loan sont de plus en plus caractérisés comme une innovation DeFi dangereuse.
Comme Marc Zeller d’Aave, un protocole DeFi qui propose des prêts flash, souligne succinctement, les flashs loan ne sont qu’un outil: « Ils vous permettent d’agir comme une baleine pendant toute la durée d’une transaction. » Toute attaque exécutée via un flashs loan peut également être exécutée sans prêt flash par un acteur bien capitalisé. Tout ce qu’un prêt flash fait temporairement, c’est faire de n’importe qui dans le monde un acteur bien capitalisé. Car l’obtention d’un flashs loan est sans autorisation et ne nécessite aucune garantie préalable.
Bien sûr, le libre accès à ces fonds augmente considérablement le nombre de personnes qui peuvent mener une telle attaque. Mais même dans un monde sans flashs loan, l’adoption accrue de la technologie blockchain ne fera que continuer à fournir un accès plus rapide à de plus grandes quantités de liquidités.
Concentrez-vous sur ce qui ne va pas
Nous devons prêter attention à ce que ces acteurs malveillants font réellement avec leurs nouveaux fonds. Un modèle est clairement apparu. Les parties malveillantes utilisent des flashs loan pour exploiter les protocoles DeFi. Celles qui dépendent d’un seul échange décentralisé (DEX) comme unique oracle de prix du protocole. Ils utilisent le prêt flash pour manipuler et fausser le prix d’un ou de plusieurs actifs sur le DEX. Ce qui entraîne des données de prix inexactes transmises aux applications DeFi utilisant cet oracle de prix basé sur DEX.
L’acteur malveillant exploite alors l’opportunité et génère un profit au détriment direct des utilisateurs réguliers. En étant obsédée par l’outil spécifique utilisé lors de l’exploit, notre industrie néglige la vraie leçon de ces attaques. Les protocoles DeFi reposant sur des oracles de prix qui récupèrent des données à partir d’une seule plate-forme de négociation peuvent être compromis par des acteurs disposant de grosses sommes d’argent.
Un oracle de prix n’est pas suffisant
Ce sont des attaques d’oracle, avec des vecteurs d’attaque qui ont été prédits. Mais aussi qui se sont déjà produits auparavant. L’accent mis sur les flashs loan nous détourne d’un problème plus important que les protocoles DeFi. Ceux avec des centaines de millions et parfois plus de 1 milliard de dollars TVL reposent toujours sur des échanges uniques avec un oracle de flux de prix. Comme nous l’avons vu, un seul échange peut être soumis à une grande variété de changements de volume et de manipulation des baleines. Les conséquences pour un autre protocole reposant sur un flux de prix centralisé sont claires.
Aujourd’hui, de nombreuses applications DeFi haut de gamme de TVL utilisent des réseaux décentralisés d’oracles qui tiennent compte des différences de volume et de liquidité sur plusieurs échanges. Ceci de manière asynchrone et sur plusieurs transactions différentes. Ce qui les rend insensibles à la manipulation financée par des flashs loan. Alors que de plus en plus d’utilisateurs sont attirés par l’accessibilité financière et les opportunités de cet écosystème. Et que les protocoles DeFi absorbent plus de valeur des marchés mondiaux. Il incombe aux mainteneurs de ces protocoles d’adopter des solutions oracle décentralisées. Qui protègent les utilisateurs de ce qui est, maintenant, attaques bien comprises et évitables.
Conclusion
Alors la prochaine fois que vous entendrez l’expression «attaque de flashs loan», réfléchissez à deux fois. Le prêt flash a probablement été utilisé pour cibler une vulnérabilité spécifique du système: un oracle de prix sans couverture du marché. L’oracle est censé être la source définitive de vérité d’un protocole – sur le prix d’un actif, sur l’état d’un marché. Comme nous l’avons vu, quiconque peut manipuler cette source a énormément à gagner. La vérité derrière les attaques de prêt flash: elles sont financées par des flashs loan mais ce sont des attaques d’oracle de prix.
Crédit: Lien source
Laisser un commentaire