Après une série de vols sur des plateformes de finance décentralisée (DeFI), le Federal Bureau of Investigations (FBI) américain avertit que les criminels exploitent de plus en plus les bugs de ces plateformes pour voler les crypto-monnaies des investisseurs. Le FBI a émis un avertissement à l’intention des investisseurs qui versent de l’argent sur les plateformes de DeFI, les avertissant qu’ils pourraient s’exposer à des pertes financières en raison des vulnérabilités des contrats intelligents (smart contract) qui régissent ces plateformes.
Le concept de DeFi est une infrastructure financière numérique émergente qui élimine théoriquement le besoin d’une banque centrale ou d’une autorité gouvernementale pour approuver les transactions financières, et est profondément liée à l’évolution des technologies blockchain. Mais voici que le FBI avertit que des investisseurs se font duper par des attaquants exploitant les vulnérabilités des contrats intelligents.
« Un contrat intelligent est un contrat auto-exécuté avec les termes de l’accord entre l’acheteur et le vendeur, écrit directement dans des lignes de code, à travers un réseau blockchain distribué et décentralisé. Les cybercriminels cherchent à profiter de l’intérêt accru des investisseurs pour les crypto-monnaies, ainsi que de la complexité des fonctionnalités inter-chaînes et de la nature open source des plateformes DeFi », indique le FBI.
Les vols de plateformes DeFI ont décollé en 2021
Les chercheurs de la société britannique de tests de pénétration Bishop Fox ont constaté que 51 % des attaques sur les projets DeFI en 2021 ont exploité des vulnérabilités dans les contrats intelligents, suivies par des défauts de protocole et de conception de la plateforme, à 18 %. La plupart des attaques sont jugées comme peu sophistiquées.
Plus tôt cette année, des pirates ont volé 80 millions de dollars au projet DeFI Qubit Finance en exploitant une vulnérabilité dans son protocole QBridge. Les pirates ont également volé 30 millions de dollars à Grim Finance fin 2021.
La société américaine d’analyse de blockchain Chainalysis a indiqué que 97 % des 1,3 milliard de dollars de crypto-monnaies volées au cours du premier trimestre 2022 provenaient de plateformes DeFI. Les vols de plateformes DeFI ont décollé en 2021, lorsque les hacks de plateformes DeFI ont représenté 71 % des pertes financières, alors qu’auparavant, la plupart des vols de crypto-monnaies ciblaient des portefeuilles individuels ou des échanges de crypto-monnaies.
Traiter les plateformes de DeFI avec prudence
Le FBI dit avoir observé des cybercriminels fraudant les plateformes DeFI par le biais de vulnérabilités individuelles affectant les contrats intelligents et les éléments de vérification des signatures, ainsi qu’en enchaînant plusieurs failles pour manipuler les prix. Ces failles ont déjà eu comme résultat :
- Le lancement d’un prêt flash qui déclenche un exploit dans les contrats intelligents de la plateforme DeFi, faisant perdre aux investisseurs et aux développeurs du projet environ 3 millions de dollars en crypto suite au vol.
- L’exploitation d’une vulnérabilité de vérification de signature d’une plateforme DeFi et le retrait de tous les investissements de la plateforme, entraînant des pertes d’environ 320 millions de dollars.
- La manipulation de paires de prix de crypto-monnaies en exploitant une série de vulnérabilités, puis la mise en place de transactions à effet de levier qui contournent les vérifications pour voler environ 35 millions de dollars en crypto-monnaies.
Le FBI exhorte les investisseurs à traiter les plateformes de DeFI avec prudence, mais reconnaît également que l’investissement comporte des risques. Les investisseurs doivent se renseigner sur les plateformes, les protocoles et les contrats intelligents avant d’investir et s’assurer que la plateforme a effectué un audit de code.
Le FBI avertit également les investisseurs de se méfier des « pools d’investissement DeFi avec des délais d’adhésion extrêmement limités et un déploiement rapide de contrats intelligents, en particulier sans l’audit de code recommandé. »
Il avertit également les responsables de projets qu’ils doivent être conscients du risque potentiel que représentent les solutions de crowdsourcing pour l’identification et la correction des vulnérabilités : « Les dépôts de code source ouvert permettent un accès sans entrave à tous les individus, y compris ceux qui ont des intentions malveillantes », note-t-il.
Source : « ZDNet.com »
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));