Finance Redefined est la newsletter de Cointelegraph centrée sur DeFi, livrée aux abonnés tous les mercredis.
Le hack Alpha Homora et Cream Finance a fait une marque gigantesque dans l’espace DeFi cette semaine.
Il s’agit du plus grand piratage de l’histoire de DeFi avec 37 millions de dollars de fonds volés. C’est également l’une des plus complexes, exploitant apparemment plusieurs vulnérabilités honnêtes envers Dieu dans Alpha Homora. Quelques contrôles d’entrée manquants dans des conditions très spécialisées ont permis au hacker d’abuser du privilège d’Alpha Homora d’emprunter un montant illimité de fonds à Iron Bank de Cream Finance. Les prêts flash étaient bien sûr impliqués, mais contrairement à certains hacks précédents comme Harvest Finance, cela ne semble pas avoir été un exploit purement économique.
La nouvelle du hack a eu un impact très négatif sur les prix pour tous les protocoles impliqués dans le hack, y compris Aave pour une raison quelconque. En regardant de manière plus générale le DeFi Perp sur FTX, il y a un pic clair le 13 février lorsque le piratage s’est produit.
Peut-être qu’une partie de cela est juste une action normale du marché, mais dans l’ensemble, il semble que le piratage à lui seul ait mis fin à la saison DeFi, pour le moment.
Les auditeurs ressentent la chaleur
Comme tout protocole atteignant n’importe quel type d’adoption de masse aujourd’hui, Alpha Homora a été audité par Quantstamp et PeckShield, tous deux des cabinets qualifiés et respectables.
Pourtant, les détails du piratage ont conduit certains à soupçonner qu’il s’agissait d’un travail interne, potentiellement par quelqu’un de ces cabinets d’audit. Développeur principal Yearn.finance Banteg mentionné comment les détails du piratage étaient si obscurs qu’il était extrêmement improbable que quiconque l’ait compris simplement en regardant les contrats. Notamment, le pool attaqué par le pirate était inopiné et inutilisé, ce qui a permis au piratage de se produire en premier lieu.
Bien qu’il n’y ait pas eu d’accusations publiques, l’incident a déclenché une autre discussion sur les raisons pour lesquelles les auditeurs n’ont pas réussi à détecter le bogue, s’ils sont correctement incités et comment cette situation peut être atténuée.
L’anatomie d’un hack complexe
En tant qu’ancien chasseur de primes aux bogues, je crois vraiment que l’écosystème de l’audit est à peu près aussi «axé sur les incitations» qu’il peut l’être. Les sociétés d’audit mettent leur réputation en péril chaque fois qu’un bug majeur comme celui-ci se glisse dans leurs filets. Assez de ceux-ci en succession rapide et personne ne fera plus confiance à cette entreprise. Les auditeurs ont toute la motivation pour trouver tout ce qu’ils peuvent, c’est juste que parfois, de manière réaliste, ils ne peuvent pas le faire.
Un audit est un contrat à durée limitée au cours duquel une équipe d’ingénieurs en sécurité expérimentés fouille le code à la recherche de tout ce qui semble suspect. Les mots clés ici sont «à durée limitée» et «à la recherche de quoi que ce soit».
Je peux dire par expérience personnelle qu’un bogue comme celui que nous avons en ce moment n’est pas quelque chose que vous pouvez trouver par hasard en regardant le code. Trouver un bogue complexe en plusieurs étapes comme celui-ci est un processus itératif. Cela commence par vous trébucher sur cette chose étrange qui n’agit pas comme il se doit. Par exemple, un site Web oubliant de vérifier si vous êtes réellement connecté lors de l’exécution d’une certaine tâche. Vous prenez cette pépite et vous vous demandez: “Comment puis-je exploiter cela?” Vous trouvez des idées, parcourez la plate-forme à la recherche d’autres points faibles et voyez si vous pouvez les combiner d’une manière ou d’une autre. La plupart du temps, vous ne trouvez rien et ce point faible reste inexploitable.
Mais avec des jours de travail ciblé, de multiples essais et erreurs, vous découvrez parfois comment exploiter le problème initial. Quand cela se produit, c’est toujours une combinaison de facteurs qui seuls semblent hors de propos, mais pris ensemble, ils s’intègrent dans un casse-tête désagréable.
La concentration et le dévouement nécessaires pour trouver la plupart des bogues qui ont entraîné des hacks majeurs dépassent le cadre d’un audit. S’ils devaient chasser chaque piste avec le temps dont ils disposaient, ils en gaspilleraient littéralement tellement qu’ils ne trouveraient pas les choses facilement exploitables et évidentes. Cela ne veut pas dire que les auditeurs ne trouvent jamais de bogues complexes, mais il n’est pas raisonnable de s’attendre à ce qu’ils trouvent tout. Et si un auditeur a vraiment trouvé le bogue Alpha Homora et l’a retenu, il y a des problèmes plus profonds en jeu que les incitations économiques.
Comment sécuriser DeFi
Les problèmes avec les audits signifient que les projets doivent lancer des primes de bogues pour trouver des bogues vraiment complexes. Ils n’ont pas de limite de temps, beaucoup plus d’yeux parcourent la plate-forme, et la rémunération est basée sur les résultats – beaucoup plus efficace que de payer plus d’heures de travail aux auditeurs dans l’espoir de trouver quelque chose.
La plupart comprennent maintenant le pouvoir des primes de bogues, bien que bien sûr Alpha Homora n’en ait pas. Mais des projets comme Yearn.finance le font, et ils ont tout de même été piratés.
Parfois, ces choses arrivent tout simplement. Crypto porte le combo problématique qui exploite réellement un bogue pour de l’argent et s’en tire vraiment facile, alors que l’infrastructure ne ressemble à rien d’autre que les pirates ont vu auparavant. Pour commencer à chercher des primes dans DeFi, vous devez être un expert en crypto sérieux et un programmeur Solidity / Vyper expérimenté – deux choses qui ne viennent pas immédiatement. Pour un hacker chapeau blanc, il existe de nombreuses plates-formes Web2 standard offrant des primes très compétitives, pourquoi devraient-ils se donner la peine de rechercher DeFi?
Les gens comprennent mal le défi de la sécurisation des protocoles. Alpha Homora a déclaré que toute prime qu’ils auraient pu payer aurait pâli par rapport au butin en jeu. Mais l’objectif ne devrait pas être de payer aux pirates ce qu’ils pourraient voler. C’est une proposition perdante. Le but est d’attirer des hackers au chapeau blanc au bon cœur pour analyser le projet et recevoir une prime légale. Une prime qui est inférieure aux millions qu’ils pourraient obtenir en exploitant le bogue, mais qui peut encore changer la vie. Peut-être quelque chose comme 50 000 $, 200 000 $, selon la situation? C’est probablement moins que le coût d’un audit par un cabinet très réputé.
Dans d’autres nouvelles
Crédit: Lien source