Analyse des risques de sécurité DeFi : prêts flash, attaques par manipulation de prix et pistes de conception de protocoles pour réduire les risques
TechFlow SélectionTechFlow Sélection
Analyse des risques de sécurité DeFi : prêts flash, attaques par manipulation de prix et pistes de conception de protocoles pour réduire les risques
À mesure que leur part de marché augmente, les plateformes DeFi font face à des menaces sécuritaires de plus en plus nombreuses.
Dédié à des analyses Web3 approfondiesRédaction : Revelo Intel
Traduction : TechFlow
Dans le domaine des cryptomonnaies, la DeFi est devenue une direction stratégique importante. Toutefois, avec la croissance de sa part de marché, les plateformes DeFi font face à des menaces croissantes en matière de sécurité.
Récemment, Sirmoremoney, cofondateur et responsable produit de Moremoney, a discuté sur Twitter Spaces de certains sujets liés à la sécurité DeFi, notamment des risques liés à la manipulation du prix des collatéraux et aux attaques par prêt flash. Revelo Intel a résumé cette discussion Spaces et examine les mesures à prendre pour atténuer ces risques.
Attaques exploitant des vulnérabilités de contrats / Attaques par prêt flash
Les attaques par prêt flash exploitent la possibilité d’emprunter sans garantie pendant une très courte période afin de manipuler les prix ou de voler des fonds. Prenons l’exemple de l’attaque contre Platypus pour illustrer une attaque exploitant une vulnérabilité de contrat.
L’attaquant a emprunté 44 millions de dollars en prêts flash depuis Aave, les a déposés sur Platypus et a ensuite emprunté 42 millions de dollars. Ensuite, il a exploité une faille dans le contrat pour effectuer un retrait d’urgence, récupérer son dépôt initial et conserver le prêt. Cette attaque a entraîné une perte de 200 millions de dollars pour Platypus Finance.
Toutefois, il n’a pu échanger les 42 millions de dollars restants en USB qu’à hauteur d’environ 8,5 millions de dollars. Le conseiller sécurité de Platypus ainsi que l’équipe interne ont réussi à récupérer 2,4 millions de dollars, tandis que Feather et Circle ont gelé les fonds bloqués dans le contrat. L’attaquant a par la suite été arrêté en France.
Cette attaque a été menée par un pirate peu expérimenté, et à ce jour environ 70 % des fonds volés ont été récupérés.
La leçon tirée de cet incident est que les protocoles doivent mettre en place des mesures de sécurité appropriées, telles que limiter les comptes autorisés à appeler la fonction de retrait d’urgence, et instaurer des plafonds de dette afin de limiter les pertes potentielles.
Fonction de retrait d'urgence
Par exemple, Moremoney dispose d’une fonction de secours qui ne peut être appelée que par le protocole lui-même ou par la gouvernance.
Ils insistent sur l’importance de limiter qui peut appeler cette fonction, contrairement à ce qui s’est produit dans le cas de Platypus.
Attaques par manipulation de prix des collatéraux
Les attaques par manipulation de prix consistent à altérer artificiellement le prix d’un jeton sur un exchange décentralisé (DEX) afin d’emprunter un montant supérieur à la valeur réelle du collatéral.
Prenons les exemples des attaques contre Mango et Loadstar. Ces incidents ont causé de lourdes pertes aux utilisateurs et illustrent l’importance de surveiller les prix des collatéraux et de mettre en œuvre des mesures préventives contre la manipulation des prix.
Dans les deux cas, les attaquants ont manipulé le prix des jetons sur le DEX afin d’emprunter davantage que la valeur réelle de leurs collatéraux. Le choix de l’oracle de prix est crucial pour la sécurité du protocole ; utiliser un oracle basé sur le prix au comptant (spot price) est toujours une mauvaise idée, car un effondrement brutal ou d’autres fluctuations de prix peuvent entraîner des pertes importantes.
Mesures d'atténuation des risques
Ces mesures incluent une vérification approfondie des contrats intelligents, la mise en œuvre de l’authentification multifacteur et d'autres mécanismes de sécurité, ainsi que l’isolement des risques associés à différents actifs et pools d’emprunt.
Pools CDP isolés
Les pools CDP (positions de dette garantie) isolés jouent un rôle important pour atténuer les risques liés aux pools multi-actifs.
Ils soulignent que chaque actif mis en garantie est isolé, ce qui signifie que si un attaquant parvient à exploiter l’un des actifs, il ne pourra pas extraire des fonds de l’ensemble du pool.
Plafonds de dette isolés
Des plafonds de dette isolés permettent de limiter le montant pouvant être emprunté pour chaque actif mis en garantie.
Selon eux, cela contribue à empêcher les attaquants d’emprunter de grandes sommes et à réduire les risques liés aux pools multi-actifs.
Plafond de dette global
Un protocole peut instaurer un plafond de dette global, limitant ainsi le montant total pouvant être emprunté pour tous les actifs présents sur la plateforme.
Cela permet d’éviter une surexploitation du levier sur la plateforme et de réduire l’impact potentiel de toute attaque individuelle.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
Revelo Intel
