Hacks et hold-up dans la crypto-sphère en 2020
Contrairement aux années précédentes, les nouvelles cryptographiques en 2020 n’ont pas été dominées par les principaux hacks d’échange et les vols de millions de dollars Bitcoin. Cependant, il y en a encore eu un bon nombre et la plupart d’entre eux sont issus du secteur financier décentralisé naissant.
DeFi a été l’un des principaux moteurs de la dynamique du marché de la cryptographie en 2020 et il va de soi que le paysage financier émergent a été un aimant pour les escrocs et les pirates. Des contrats intelligents en grande partie non audités, associés à du code cloné, ont été une recette pour des vulnérabilités et des exploits, entraînant souvent le vol de millions de dollars d’actifs numériques.
Un rapport CipherTrace de novembre 2020 a déclaré qu’au cours du premier semestre de l’année, DeFi a absorbé 45% de tous les vols et piratages, entraînant une perte de plus de 50 millions de dollars. Ce chiffre est passé à 50% de tous les vols et piratages au second semestre, selon le rapport. S’adressant à Cointelegraph, le PDG de CipherTrace, Dave Jevans, a mis en garde contre une éventuelle répression réglementaire:
«Les hacks DeFi représentent désormais plus de la moitié de tous les hacks de crypto-monnaie en 2020, une tendance qui attire l’attention des régulateurs.»
Il a ajouté que le manque de conformité en matière de lutte contre le blanchiment d’argent est plus préoccupant pour les régulateurs: «Les fonds volés dans le plus grand piratage de 2020 – le piratage KuCoin de 280 millions de dollars – ont été blanchis à l’aide des protocoles DeFi.» Jevans estime également que 2021 est susceptible d’apporter des éclaircissements de la part des régulateurs sur les actions que les protocoles DeFi sont censés prendre pour éviter les conséquences d’un non-respect de la LBC, de Capture the Flag et d’éventuelles sanctions.
Hacks des plateformes d’échanges en 2020
Le piratage de KuCoin s’est produit fin septembre lorsque le PDG de l’échange, Johnny Lyu, a confirmé que l’incursion avait affecté les portefeuilles actifs Bitcoin, Ethereum et ERC-20 de l’entreprise, après la fuite de clés privées.
Début octobre, KuCoin a déclaré avoir identifié des suspects et avoir officiellement impliqué les forces de l’ ordre dans l’enquête. À la mi-novembre, la plateforme a déclaré qu’elle avait récupéré 84% des cryptos volée et repris des services complets pour la majorité de ses actifs.
Il y a eu d’autres hacks plateforme d’échange cette année, mais KuCoin était le plus important. En février, la plateforme italienne Altsbit a perdu presque tous ses fonds dans un piratage de 70000 $, et il y a eu quelques autres violations mineures de la plateforme. En octobre 2020, pas moins de 75 plateforme d’échanges centralisés avaient été fermés pour diverses raisons, le piratage étant le cas.
Hacks et exploits de la DeFi 2020
Avec des milliards de dollars investis dans les protocoles DeFi et les fermes de rendement, le paysage émergent est devenu un foyer pour les pirates. La première incursion majeure de 2020 s’est produite sur la plate-forme de prêt DeFi bZx en février lorsque deux exploits de prêt flash ont entraîné la perte de près d’un million de dollars en fonds d’utilisateurs. Un prêt flash se produit lorsque des garanties cryptographiques sont empruntées et remboursées au cours de la même transaction.
bZx a gelé ses opérations pour éviter de nouvelles pertes, mais cela a généré une vague de critiques de la part des observateurs du secteur, affirmant qu’il s’agissait finalement d’une plate-forme centralisée et pourrait être la «mort de DeFi».
Les marchés se sont effondrés en mars, entraînant de nombreuses liquidations de garanties, en particulier pour le jeton MKR de Maker, mais ce n’étaient pas des piratages. Le prochain de ceux-ci est survenu le mois suivant lorsqu’une version enveloppée de Bitcoin appelée imBTC a été attaquée à l’aide d’une méthode de »réentrance standard de jeton ERC-777 ». L’attaquant a pu siphonner un pool de liquidités Uniswap pour toute sa valeur, estimée à 300 000 $ à l’époque.
En avril, la plate-forme de prêt chinoise dForce s’est également vidée de toutes ses liquidités grâce au même exploit. Le pirate informatique a augmenté à plusieurs reprises sa capacité à emprunter d’autres actifs et s’est emparé d’environ 25 millions de dollars de fonds.
En juin, un exploit a été découvert dans les contrats intelligents de Bancor, qui a entraîné le drainage de jusqu’à 460 000 $ en jetons. Le market maker automatisé DeFi a déclaré avoir déployé une nouvelle version du contrat intelligent qui avait corrigé la vulnérabilité.
Balancer était le prochain protocole DeFi à être exploité à hauteur de 500000 $ en Ether enveloppé volé de ses pools de liquidités à l’aide d’une attaque d’arbitrage bien planifiée. Une série de prêts flash et d’échange de jetons arbitrés a été effectuée dans le cadre d’une attaque contre une vulnérabilité que l’ équipe Balancer connaissait apparemment déjà .
Pas tant un hack qu’un autre exploit, mais bZx était à nouveau dans l’actualité en juillet avec une vente de jetons douteuse qui a été manipulée par des bots passant des ordres d’achat dans le même bloc qui a marqué le début de l’événement de génération de jetons. Près d’un demi-million de dollars ont été volés par les pirates.
Protocole d’options DeFi Opyn a été la prochaine victime en août lorsque des pirates ont exploité ses contrats ETH Put avec plus de 370 000 $. L’exploit a permis aux attaquants de «double exercice» d’Ethereum Put oTokens et de voler la garantie. Opyn a récupéré environ 440000 USDC dans des coffres-forts exceptionnels à l’aide d’un hack white hat, les renvoyant efficacement aux vendeurs Put.
Encore une fois, non pas un piratage direct mais une faille de code dans un contrat intelligent Yam Finance non audité a affecté le rebasage du jeton de gouvernance, entraînant un effondrement des prix à la mi-août. Le protocole a été contraint de faire appel aux baleines DeFi pour le sauver en votant pour un redémarrage en version 2.
Le fiasco SushiSwap
La saga SushiSwap a commencé à la fin du mois d’août et les termes «vampire mining» et «rug pull» ont été inventés. Le cloneur et administrateur de protocole anonyme connu sous le nom de «Chef Nomi» a vendu pour 8 millions de dollars de jetons SUSHI, provoquant l’effondrement du prix du jeton. Quelques jours plus tard, le protocole a été sauvé par le PDG de la bourse FTX, Sam Bankman-Fried, qui s’est vu confier le contrôle par un consortium de baleines DeFi via un contrat intelligent à signatures multiples. Finalement, tous les fonds ont été retournés au fonds du développeur .
Les tirages de tapis, ou «pumps and dumps», comme on les appelait lors du précédent boom des altcoins en 2017, se sont poursuivis avec un certain nombre de clones DeFi tels que Pizza et Hotdog. Les prix des jetons pour ces fermes alimentaires ont bondi et se sont effondrés en quelques heures et parfois même quelques minutes.
À la mi-octobre, des hordes de «fermiers dégénérés», ou degens comme on les appelait, ont accumulé de l’argent dans un contrat intelligent non audité et inédit du fondateur du protocole DeFi Yearn Finance, Andre Cronje. Le contrat Eminence Finance a perdu 15 millions de dollars lorsqu’il a été piraté quelques heures après que Cronje ait publié des teasers sur le nouveau «multivers de jeu» sur Twitter. Le pirate informatique a rendu environ 8 millions de dollars mais a conservé le reste, ce qui a incité les commerçants mécontents à intenter une action en justice contre l’équipe Yearn pour la perte de fonds.
Fin octobre, une attaque sophistiquée d’ arbitrage de prêt flash sur le protocole Harvest Finance a entraîné la perte de 24 millions de dollars en stablecoins en environ sept minutes. L’attaque a suscité un débat sur la question de savoir si ces exploitations de la conception du système peuvent être considérées comme des piratages.
Novembre a été un mois particulièrement douloureux pour Akropolis qui a dû «suspendre le protocole» alors que les hackers s’en tiraient avec 2 millions de dollars en DAI stablecoin. Le protocole Value DeFi a perdu 6 millions de dollars dans un exploit de prêt flash trop courant, le projet de génération de rendement Stablecoin Origin Dollar a été exploité pour 7 millions de dollars et Pickle Finance a subi une perte collatérale de 20 millions de dollars dans un exploit sophistiqué de «’evil jar» .
Une attaque personnelle contre un individu à la mi-décembre a brisé le moule de l’exploitation du système. Le fondateur du protocole Nexus Mutual DeFi, Hugh Karp, a perdu 8 millions de dollars de son portefeuille MetaMask lorsqu’un pirate informatique a réussi à infiltrer son ordinateur, usurpant une transaction. Ces types d’attaques sont généralement moins courants car ils impliquent un certain degré d’ingénierie.
La dernière attaque de prêt flash signalée de l’année, à ce jour, était une incursion de 8 millions de dollars sur Warp Finance le 18 décembre.
De nombreux commerçants de détail et investisseurs ont également été victimes de tentatives de phishing et les propriétaires de portefeuilles matériels Ledger ont également été ciblés en 2020 après le piratage des informations personnelles de quelque 272000 acheteurs Ledger.
DeFi durcissant au combat
La majorité des exploits de contrats intelligents et de prêts flash en 2020 serviront à renforcer l’écosystème financier émergent au fur et à mesure de son développement. De nouveaux protocoles DeFi plus intelligents devraient voir le jour l’année prochaine, mais, comme toujours, les escrocs, les pirates et les cybercriminels amélioreront également leur jeu pour tenter de rester en tête.
Une énorme dose de vigilance et d’attention est nécessaire pour plonger dans le monde actuel de DeFi, mais il a parcouru un très long chemin en si peu de temps, et le paysage financier décentralisé du futur est en constante évolution.
Crédit: Source
- Enquête en cours sur Worldcoin : Soupçons de collecte « douteuse » de données biométriques - 31 juillet 2023
- Les Charges de Financement de Campagne Contre le Fondateur de FTX Abandonnées - 27 juillet 2023
- Peut-on utiliser la Blockchain sans la Crypto-monnaie ? - 31 juillet 2022