Les mauvaises pratiques de la Finance Décentralisée (DeFi)

Les hacks font-ils bouger les lignes en matière de cybersécurité dans la cryptosphère en général, chez les crypto-exchanges et les plateformes DeFi en particulier ? Une réponse ferme : plus au pas de tortue qu’à celui du lièvre. On ne reviendra plus sur le nombre d’exchanges piratés, tous les ans. Une faille supposée, présentée comme associée au standard Ethereum ERC-777, aurait permis un hack à 25 millions de dollars. « Aurait » car, en creusant un peu, la vérité est ailleurs : les pirates ont utilisé une « vieille » technique de hacking qui avait déjà fait ses preuves. En toile de fonds, c’est plus vers les mauvaises pratiques de la Finance Décentralisée (DeFi) qu’il convient probablement de se tourner.


Le résumé

2 cyberattaques simultanées ont visé les plateformes Lendf.me et Uniswap. Bilan : près de 25 millions de dollars sont partis dans les coffres des pirates. En cause : le token imBTCune version tokénisée du Bitcoin (BTC) – supporté par les deux plateformes.

Le token imBTC est construit sur le standard ERC-777 ; ce dernier a été développé par l’entreprise Tokenlon.

Tokenlon ERC 777

On rappellera que le standard le plus courant utilisé sur Ethereum (ETH) pour la création de jetons/token est la norme ERC-20 : le premier standard du token ETH, comporte 6 fonctions. L’ERC-20 a été proposé par Vitalik Buterin lui-même.

L’ERC-777 fait partie des standards post-ERC 20, avec pour ambition de pallier aux bugs et aux erreurs logiques constatées sur l’ERC-20. L’ERC-777 est rétro-compatible avec toutes les applications fonctionnant sous ERC-20.

Pendant le procès de l’ERC-777, la DeFi court toujours

Outre cette perte à 8 chiffres, cette attaque a d’abord remis en cause l’intégrité du standard ERC-777. Cependant, un examen plus minutieux du déroulement de l’attaque, permet de mettre l’ERC-777 hors de cause.

En effet, la faille provient en réalité plutôt d’une vulnérabilité liée à une caractéristique des contrats intelligents, la “Reentrancy”, qui permet la multiple exécution de certaines requêtes : lors de ces 2 cyberattaques, les hackers ont pu procéder au retrait des fonds avant la mise à jour du solde du portefeuille.

Cette faille n’est pas vraiment nouvelle : c’est même elle qui est à l’origine de el famoso piratage historique du projet The DAO qui a conduit au fork Ethereum – Ethereum Classic de 2016.

Apparemment, les acteurs concernés n’ont pas retenu la leçon. La même vulnérabilité avait déjà été identifiée sur la plateforme Uniswap plusieurs mois auparavant, lors d’un audit effectué par la société ConsenSys. Les détails de cet audit avaient été révélés au grand public.

Non coupable mais, pas acquitté pour autant

Malheureusement, bien qu’une analyse approfondie du déroulement des hacks ait innocenté l’ERC-777 en tant que standard, il s’agit typiquement du genre de piratage qui dans l’esprit du grand public, 0peut ternir l’image même des tokens utilisant ce standard.

Le directeur technique de PieDAO, Dan Matthews, s’inquiète ainsi des répercussions négatives sur l’image de ces tokens, un frein éventuel à leur adoption par les utilisateurs. Une telle conséquence serait regrettable selon lui : intrinsèquement, les standards des tokens ERC-777, ne sont pas vulnérables aux attaques de reentrancy .

C’est lorsqu’ils sont associés à d’autres protocoles présents sur certaines plateformes, que les failles surgissent : certaines fonctions de l’ERC-777 peuvent alors être activées, comme la fonction de transfert.

L’ERC-777 possède des avantages indéniables : le standard permet d’améliorer l’interaction des tokens avec les contrats intelligents, pour une meilleure efficacité des transactions.

Pub

Cryptoassets are highly volatile unregulated investment products. No EU investor protection. Your capital is at risk.

Il dispose également de fonctionnalités qui permettent de réduire les risques de pertes accidentelles de cryptomonnaies.

Le rôle des plateformes DeFi mis en cause

En revanche, si ERC-777 étant techniquement innocenté, la responsabilité pourrait plus revenir aux plateformes de finance décentralisée, qui sont désormais – et, pas pour les meilleures raisonssous les feux des projecteurs.

La plupart d’entre elles affirment avoir pris des mesures pour se protéger de ce type de hack : Balancer Labs affirme disposer d’un mécanisme de protection contre cette faille ; du côté d’Uniswap, la version 2 de la plateforme aurait également résolu ce problème.

En revanche, l’équipe de Bancor, tristement célèbre pour être plus laxiste au niveau de la sécurité de leurs codes, semble se sentir peu concernée par le sujet.

Bancor

Effet collatéral, les attaques ont remis sur le tapis, le scandale de plagiat au centre duquel se trouvait le groupe DForce, quelques mois auparavant.

Le PDG de la société Compound, Robert Leshner, a en effet profité de cette occasion pour remettre les points sur les i et critiquer les responsables de la fondation DForce : un tweet de Leshner révèle en effet que DForce aurait fait un simple « copier-coller » – plus classe que « voler » – du code développé par Compound, sans prendre la peine de renforcer les mesures de sécurité autour des procédures déployées sur leurs plateformes.

Les détenteurs de tokens ERC-777 ont été invités à retirer leurs actifs d’Uniswap, une tâche loin d’être évidente pour les personnes qui disposent de connaissances techniques limitées : la plupart ne savent même pas différencier l’ERC-777 de l’ERC-20.

En effet, pour vérifier le standard utilisé par un token, un utilisateur doit parfois consulter le répertoire Github de l’émetteur.

C’est ce type de constatation qui a conduit Dan Matthews à déclarer, qu’il appartenait aux professionnels du secteur d’identifier ces risques et, d’agir de manière proactive lorsque les utilisateurs non-avertis ne tiennent pas compte des recommandations.

Une fin « heureuse »

Apparemment, les pirates ont été plus doués pour identifier et exploiter une faille, plutôt que pour effacer leurs traces.

L’adresse IP des hackers ayant été identifiée, ces derniers ont été incités à rendre « gentiment » les fonds volés.

Pub

Cryptoassets are highly volatile unregulated investment products. No EU investor protection. Your capital is at risk.

Des rapports d’audit de sécurité révélés au grand public incitent à considérer plus sérieusement, les rôles des plateformes DeFi à redéfinir, un coup de pied aux fesses à donner aux équipes de sécurité laxistes : les axes d’amélioration en matière de politique sécurité, sont clairs. Mais ce qui est clair, sera-t-il forcément appliqué ?

Cours Ethereum (ETH) du 18 septembre 2020 – Le Développement en vaut-il le Prix ?

Le 11 septembre 2020, le prix d’ouverture de l’Ether (ETH) se situait aux environs des 367 USD. L’ETH se négocie à 382 USD aujourd’hui, 18 septembre 2020, au moment où nous rédigeons cet article. La période fut très légèrement haussière…
Malgré la grosse baisse d'Ethereum, les baleines affluent sur la seconde crypto monnaie

Ethereum (ETH) chute, ses Baleines se multiplient

Lorsque ça monte, c’est le moment de vendre ; lorsque ça descend, il est alors temps d’acheter. L’Ether (ETH) semble bénéficier du soutien des Baleines dans un moment de recul ; le réseau quant à lui, fait de son mieux pour soutenir…

Ethereum (ETH) le 11 septembre 2020 – De l’Ether à la Lune

L’Ether (ETH) semble suivre les traces de Bitcoin (BTC) ; tout comme le BTC, on s’attend à ce que l’ETH fasse mieux. Il pourrait très bien atteindre un plus haut sur 2 ans mais, il doit continuer à se maintenir dans…
Les frais élevés sur Ethereum ne tueront pas la cryptomonnaie selon ses développeurs

“Les frais ne tueront pas Ethereum (ETH)” – Et voilà pourquoi, selon ses développeurs

L’alerte a déjà été donnée des mois auparavant : Ethereum (ETH) pourrait être au bord d’une congestion fatale. Le réseau ploie sous la montée en puissance de la DeFi. On a eu droit à un peu de bricolage pour lutter contre…

Attaque 51%, Argent, Guerre des Chefs…La Communauté Ethereum Classic (ETC) se déchire

Outre les attaques que sa blockchain subit actuellement à répétition, la communauté Ethereum Classic (ETC) connait un malaise profond en raison d'une proposition émise par Charles Hoskinson, fondateur de Cardano (ADA) et co-fondateur de Ethereum (ETH). Son idée consistant à…