
SlowMist : Analyse des risques de sécurité fondamentale pour les projets DeFi populaires
TechFlow SélectionTechFlow Sélection

SlowMist : Analyse des risques de sécurité fondamentale pour les projets DeFi populaires
Cet article vise à évaluer et analyser les risques fondamentaux liés à la sécurité des projets DeFi figurant sur le classement de DefiLlama.
Auteurs : Shange, Mr.A, équipe de sécurité SlowMist
Contexte
Ces dernières années, les projets DeFi ont connu une croissance rapide, entraînant une véritable révolution d'innovation financière. Ces projets utilisent la technologie blockchain pour offrir des services financiers décentralisés tels que le prêt, l'échange ou encore la gestion d'actifs, permettant aux utilisateurs d'interagir directement sans passer par des intermédiaires financiers traditionnels.
Toutefois, en raison de leur taille importante en termes de capitaux et d'utilisateurs, les projets DeFi sont devenus des cibles potentielles pour les hackers. Beaucoup d'équipes projets considèrent à tort que la sécurité DeFi se limite uniquement à la sécurité des contrats intelligents, alors qu'elle englobe également d'autres éléments comme les noms de domaine et les serveurs.
Face à cela, divers groupes de fraude par hameçonnage sont apparus. Un cas particulier est celui du groupe Angel Drainer, qui utilise l'ingénierie sociale. Depuis cette année, ce groupe a lancé des attaques contre plusieurs projets DeFi tels que Balancer, Galxe, Frax Finance, VelodromeFi et Aerodrome.Finance. Angel Drainer compromet les DNS des projets, prend le contrôle de leurs domaines, injecte un code JavaScript malveillant dans l'interface frontale, trompe les utilisateurs afin d'obtenir leurs signatures, et finit par voler leurs actifs.
Dans ce contexte, cet article vise à évaluer et analyser les risques fondamentaux liés à la sécurité des projets DeFi figurant sur le classement de DefiLlama. En tant que plateforme fournissant données et classements des projets DeFi, DefiLlama reflète les services DeFi les plus populaires et largement utilisés sur le marché.
Projets testés et méthodologie
Nous avons tout d'abord classé les projets selon leur position dans le classement DefiLlama : top 50, top 100, top 200, top 500 et top 3000. Nous avons collecté puis analysé les informations relatives au DNSSEC, aux données WHOIS, aux CDN et à l'exposition éventuelle de l'IP source de chaque projet.

Problèmes de sécurité liés au DNSSEC
Le DNSSEC (Domain Name System Security Extensions) est une extension technique destinée à renforcer la sécurité du système de noms de domaine (DNS). Il fournit un mécanisme garantissant l'intégrité, l'authenticité et la vérification des données DNS. Voici les principales fonctions du DNSSEC :
1. Intégrité des données : Le DNSSEC signe numériquement les données DNS, assurant ainsi qu'elles n'aient pas été altérées pendant leur transmission. Cela empêche les attaquants de modifier les réponses DNS pour rediriger les utilisateurs vers des sites malveillants ou intercepter le trafic réseau.
2. Authenticité et vérification des données : Le DNSSEC permet de vérifier que les réponses DNS proviennent bien d'un serveur DNS autorisé et non d'un serveur malveillant. Cela protège contre les attaques de falsification DNS où un attaquant cherche à tromper l'utilisateur avec une réponse fausse.
3. Prévention de l'empoisonnement du cache : Le DNSSEC empêche l'empoisonnement du cache DNS, c’est-à-dire l'insertion de faux enregistrements DNS dans le cache. Grâce aux signatures numériques, les enregistrements frauduleux peuvent être détectés et rejetés.
4. Renforcement de la sécurité DNS : Le DNS étant une infrastructure critique d'Internet, beaucoup d'activités en ligne en dépendent. L'utilisation du DNSSEC améliore la sécurité globale d'Internet en réduisant le taux de succès des attaques malveillantes, renforçant ainsi la cybersécurité des utilisateurs et organisations.
En résumé, le DNSSEC renforce la sécurité du DNS grâce à des mécanismes de signature et de vérification numérique, garantissant l'intégrité et l'authenticité des requêtes DNS. Une fois activé, il permet de valider l'authenticité des serveurs DNS autorisés, réduit les risques de détournement de domaine et de fraudes DNS, contribuant ainsi à une meilleure fiabilité et sécurité d'Internet.
Dans ce test, nous avons utilisé des scripts automatisés et des outils tiers comme https://domsignal.com/ pour analyser la configuration DNSSEC des domaines testés, notamment la présence correcte de DNSKEY et la validité des RRSIG. Exemple ci-dessous :

Problèmes de sécurité liés à l'hébergeur de nom de domaine
Les hébergeurs de noms de domaine gèrent l'enregistrement et la maintenance des domaines. Leurs mesures de sécurité incluent la protection des comptes contre les accès non autorisés, la prévention du transfert ou modification malveillante des domaines, ainsi que la sécurisation des données d'enregistrement. Un bon hébergeur propose généralement une authentification à deux facteurs (2FA), des audits réguliers et de solides fonctionnalités de confidentialité.
L’utilisation d’un hébergeur peu sécurisé peut entraîner plusieurs vulnérabilités DNS, notamment :
1. Détournement DNS : Un hébergeur non sécurisé peut être victime d’attaques de détournement DNS, permettant à un attaquant de modifier les réponses DNS et de rediriger les utilisateurs vers des sites malveillants. Cela expose les utilisateurs à des risques de phishing, de logiciels malveillants ou d’autres activités malicieuses.
2. Empoisonnement du cache DNS : Un attaquant peut injecter de faux enregistrements DNS auprès d’un hébergeur vulnérable, compromettant ainsi son cache. Cela affecte un grand nombre d’utilisateurs en les redirigeant vers des sites malveillants.
3. Altération des données : Un hébergeur insuffisamment protégé peut être victime d’attaques de type « homme du milieu », où les données sont modifiées pendant la transmission des requêtes DNS, conduisant à des réponses fausses. Les utilisateurs peuvent alors être amenés à se connecter à de mauvais serveurs ou à des sites malveillants.
4. Indisponibilité du service : Si l’hébergeur subit une attaque par déni de service distribué (DDoS) ou toute autre attaque réseau, ses serveurs DNS peuvent devenir inaccessibles, rendant les sites et services en ligne indisponibles.
5. Absence de prise en charge du DNSSEC : Certains hébergeurs ne supportent pas le DNSSEC, augmentant ainsi la vulnérabilité des requêtes DNS et exposant davantage les utilisateurs aux fraudes et autres attaques.
En résumé, utiliser un hébergeur de domaine non sécurisé expose les utilisateurs et organisations à de nombreuses menaces. Il est donc crucial de choisir un hébergeur fiable, doté de solides mesures de sécurité, notamment la prise en charge du DNSSEC. Les équipes DeFi doivent soigneusement évaluer et sélectionner leurs hébergeurs afin d’assurer la sécurité et la fiabilité de leurs domaines.
Ce test a utilisé des services WHOIS comme https://www.godaddy.com/whois pour interroger les domaines, récupérer l’enregistreur (Register) et les serveurs de noms (Name Server) associés. Exemple ci-dessous :

Problèmes de sécurité liés au CDN et à la protection du trafic
Un réseau de diffusion de contenu (CDN) est un service visant à optimiser les performances et la sécurité d’un site web, en distribuant son contenu à travers plusieurs nœuds géographiques pour réduire la latence et accélérer l’accès. Les mesures de sécurité d’un CDN incluent la protection contre les attaques DDoS, les pare-feux applicatifs (WAF), ainsi que le support HTTPS pour assurer la confidentialité et l’intégrité des données transmises.
Un fournisseur CDN non sécurisé peut présenter plusieurs risques majeurs :
1. Fuite de données : Un CDN mal sécurisé pourrait ne pas protéger adéquatement les données stockées sur ses serveurs, entraînant des fuites d’informations sensibles telles que les données clients, identifiants ou documents confidentiels. Des attaquants pourraient exploiter des failles pour accéder ou voler ces données.
2. Attaques de l’homme du milieu : Un attaquant pourrait intercepter les communications entre le CDN et les utilisateurs finaux, altérant ou surveillant les flux de données afin de voler des informations ou diffuser du contenu malveillant.
3. Indisponibilité du service : Si le CDN est victime d’une attaque DDoS ou autre attaque réseau, le service peut être interrompu, rendant le site ou l’application inaccessible, avec des conséquences graves sur la disponibilité et la performance.
4. Diffusion de contenu malveillant : Si le CDN ne vérifie pas suffisamment le contenu hébergé, des utilisateurs malveillants pourraient l’exploiter pour diffuser des logiciels malveillants, scripts dangereux ou autres contenus nuisibles.
5. Manque de chiffrement : Un CDN non sécurisé peut ne pas offrir un chiffrement suffisant, rendant les données transmises vulnérables à l’écoute, entraînant des fuites d’information et des problèmes de confidentialité.
6. Exploitation de vulnérabilités : Des attaquants peuvent tirer parti de failles de sécurité dans un CDN mal configuré pour infiltrer le réseau, accéder à des données sensibles ou en prendre le contrôle.
7. Problèmes juridiques et de conformité : Certains CDN étant basés dans des juridictions différentes, cela peut soulever des questions légales ou de conformité, notamment en matière de protection des données.
Pour limiter ces risques, les projets DeFi doivent soigneusement évaluer la sécurité, la politique de confidentialité et la conformité des fournisseurs CDN. Choisir un CDN fiable, avec un bon historique de sécurité et une équipe spécialisée, est essentiel pour protéger les données et assurer la sécurité du réseau.
Dans ce test, nous avons récupéré l’adresse IP des domaines pour identifier l’utilisation des principaux CDN du marché tels qu’Akamai, Azure CDN, Cloudflare, Cloudfront, Fastly, Google Cloud CDN et Maxcdn. Exemple ci-dessous :

Problèmes de sécurité liés à l’exposition de l’IP source
L’exposition de l’IP source désigne la situation où un attaquant parvient à découvrir l’adresse IP réelle du serveur backend d’un site web, contournant ainsi le CDN ou d’autres mesures de sécurité. Cela permet des attaques directes sur le serveur, le contournement des pare-feu, etc. L’exposition de l’IP source peut entraîner :
1. Attaques directes : L’adresse IP exposée devient une cible privilégiée pour des attaques comme les DDoS, pouvant rendre le site inaccessibles.
2. Exploitation de vulnérabilités : Si le logiciel serveur comporte des failles connues, un hacker peut s’en emparer pour pénétrer le système.
3. Risque de fuite de données : Un attaquant peut accéder à des données sensibles via l’IP exposée, causant une violation de données.
4. Hameçonnage et fraude : Un pirate peut usurper l’identité du serveur pour mener des campagnes de phishing ou de fraude.
Protéger l’IP source du serveur web est donc une mesure cruciale pour la sécurité. Pour éviter son exposition, on utilise généralement des proxys inversés, des enregistrements DNS sécurisés, et l’on veille à ce que tous les points d’entrée soient correctement protégés, réduisant ainsi les risques d’attaques directes sur le serveur d’origine.
Dans ce test, nous avons tenté de contourner les CDN via des services tiers afin de détecter si l’IP source des domaines était exposée. Exemple ci-dessous :

Sur la base de ces tests, voici l’analyse des résultats.
Statistiques des résultats
Problèmes de sécurité liés au DNSSEC
Résultats partiels :

Statistiques DNSSEC :

(Distribution quantitative)

(Distribution en pourcentage)

Problèmes de sécurité liés à l’hébergeur de nom de domaine
Résultats partiels :

Statistiques des registrars :



Problèmes de sécurité liés au CDN et à la protection du trafic
Résultats partiels :

Statistiques d’utilisation des CDN :


On observe que Akamai, le premier CDN mondial en termes de sécurité, est pratiquement absent du secteur DeFi. Il reste donc beaucoup à faire pour améliorer la sécurité de base et la prise de conscience dans l’industrie DeFi.
Problèmes de sécurité liés à l’exposition de l’IP source
Résultats partiels :

Statistiques d’exposition :



Les risques liés à l’exposition de l’IP source ne doivent pas être sous-estimés. Le 7 décembre, le célèbre projet de jeu @XAI_GAMES a subi une attaque DDoS ayant rendu son site officiel inaccessible. Parallèlement, les attaquants ont publié un faux site sur le serveur Discord de ce projet, incitant les victimes à visiter un site frauduleux et à tomber dans un piège de phishing, causant la perte d’environ 400 ETH. Ainsi, les projets DeFi doivent impérativement protéger l’IP source de leurs serveurs web afin de réduire les risques d’attaques directes.
Conclusion
À partir des statistiques présentées ci-dessus, il est clair que les risques fondamentaux liés à la sécurité des projets DeFi sont aujourd’hui très élevés. La majorité des configurations de projets DeFi sont insuffisamment sécurisées et restent donc vulnérables aux attaques.
Comme le montre cette analyse, la sécurité DeFi ne se limite pas à celle des contrats intelligents ; elle doit être abordée de manière holistique. L’équipe de sécurité SlowMist a publié les Exigences de pratique de sécurité pour les projets Web3 (https://github.com/slowmist/Web3-Project-Security-Practice-Requirements) ainsi que le Guide de sécurité de la chaîne d'approvisionnement Web3, afin d’aider et rappeler aux projets Web3 d’adopter des mesures de sécurité complètes. De plus, le système de surveillance MistEye développé par SlowMist couvre la surveillance des contrats, du front-end et back-end, la détection proactive des vulnérabilités, et assure une protection complète avant, pendant et après un incident. Nous invitons vivement les projets à utiliser le système MistEye pour mieux maîtriser les risques et renforcer leur sécurité.
Remerciements : @DefiLlama @censysio
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










