
Spécial Sécurité 05 | OKX Web3 & BlockSec : mentionner tous les baleines, le dernier guide de prévention des risques dans le monde DeFi
TechFlow SélectionTechFlow Sélection

Spécial Sécurité 05 | OKX Web3 & BlockSec : mentionner tous les baleines, le dernier guide de prévention des risques dans le monde DeFi
Invitez les pionniers de la sécurité blockchain BlockSec et l'équipe de sécurité du portefeuille OKX Web3 à partager avec tous les utilisateurs et projets sur le point de devenir ou déjà devenus des « baleines » un guide de prévention des risques en DeFi.
Introduction
Le portefeuille Web3 d'OKX a spécialement conçu la rubrique « Dossier Sécurité », afin de répondre point par point aux différents types de problèmes de sécurité sur la blockchain. À travers des cas réels arrivés à des utilisateurs, en collaboration avec des experts ou institutions spécialisées en cybersécurité, cette rubrique propose un double éclairage et des explications croisées selon plusieurs perspectives, pour progressivement clarifier et synthétiser les règles fondamentales de sécurité dans les transactions. L’objectif est de renforcer l’éducation des utilisateurs à la sécurité, tout en les aidant à apprendre à protéger leur clé privée et leurs actifs numériques dès le niveau individuel.
Le principal attrait du monde DeFi réside dans le fait que chacun possède le potentiel de devenir une « baleine »
Mais même les « baleines » ne doivent pas se croire invincibles : bien qu’elles profitent des gains, elles peuvent aussi essuyer des pertes
Ainsi, lorsqu’on évolue sur la chaîne, la priorité absolue est la sécurité
Sinon, il faudra repartir de zéro…
Voici le cinquième numéro du Dossier Sécurité. Nous avons invité BlockSec, pionnier de la sécurité blockchain, ainsi que l’équipe de sécurité du portefeuille Web3 d’OKX, pour partager, depuis une perspective pratique, un guide complet d’évitement des risques DeFi destiné à tous les utilisateurs – futurs ou actuels « baleines » – ainsi qu’aux projets. Par exemple : comment lire un rapport d’audit, quels indicateurs et paramètres utiliser pour évaluer rapidement les risques d’un projet DeFi, comment les projets ou grands utilisateurs peuvent mettre en place une capacité de surveillance proactive, quelles sont les règles fondamentales de protection DeFi, etc. À ne pas manquer !

Équipe de sécurité BlockSec : BlockSec est un fournisseur mondial de services complets de sécurité blockchain, classé parmi les leaders mondiaux. La société accompagne déjà plus de 300 clients, notamment des projets majeurs tels que MetaMask, Compound, Uniswap Foundation, Forta, PancakeSwap et Puffer. Grâce à ses interventions en mode « chapeau blanc », elle a permis de récupérer plus de 20 millions de dollars américains de pertes financières.
Le PDG et cofondateur de BlockSec, Zhou Yajin, est professeur en informatique à l’Université Zhejiang et chercheur reconnu par Aminer comme l’un des universitaires les plus influents au monde, ayant publié plus de 50 articles scientifiques de haut niveau, cités plus de 10 000 fois. Le CTO et cofondateur Wu Lei est également professeur en informatique à l’Université Zhejiang et ancien cofondateur de PeckShield. Il a dirigé son équipe dans la découverte de dizaines de vulnérabilités critiques (zero-day) affectant plusieurs projets célèbres. Le directeur produit Raymond a précédemment occupé des postes clés chez Tencent et 360 en matière de produits de sécurité.
Équipe de sécurité du portefeuille Web3 d’OKX : Bonjour à tous, nous sommes très heureux de pouvoir partager notre expertise aujourd’hui. L’équipe OKX Web3 Security est principalement chargée de développer diverses capacités de sécurité dans le domaine Web3, telles que l’audit de contrats intelligents, le renforcement de la sécurité du portefeuille, la surveillance de sécurité des projets sur chaîne, etc. Nous fournissons aux utilisateurs une protection multiple couvrant la sécurité des produits, la sécurité des fonds et la sécurité des transactions, contribuant ainsi à préserver l’écosystème global de la blockchain.
Q1 : Partagez quelques cas réels où des utilisateurs ont subi des risques dans l’univers DeFi
Équipe de sécurité BlockSec : En raison des rendements relativement stables et élevés qu’il offre, DeFi attire de nombreux gros investisseurs. Pour améliorer leur liquidité, de nombreux projets invitent activement ces grands acteurs à participer. On voit souvent dans les médias des reportages sur des « baleines » déposant des montants colossaux dans des protocoles DeFi. Bien sûr, lorsqu’ils participent à ces projets, ces gros investisseurs, outre les rendements stables, font face à certains risques. Voici quelques cas publics illustrant les risques dans le secteur DeFi :
Cas n°1 : Lors de l’incident de sécurité de PolyNetwork en 2022, plus de 600 millions de dollars d’actifs ont été attaqués. Selon certaines rumeurs, Shen Yu aurait perdu environ 100 millions de dollars dans cet événement. Bien que l’attaquant ait finalement restitué les fonds et que l’affaire se soit conclue de manière satisfaisante — Shen Yu ayant même annoncé vouloir ériger un monument sur la chaîne pour commémorer l’événement — ce processus a sans doute été extrêmement éprouvant. Même si certains incidents de sécurité connaissent une issue favorable, la majorité d’entre eux ne se terminent malheureusement pas aussi bien.
Cas n°2 : Le DEX bien connu SushiSwap a été attaqué en 2023. Le grand investisseur 0xSifu y a perdu plus de 3,3 millions de dollars, représentant à lui seul près de 90 % des pertes totales.
Cas n°3 : Lors de l’incident de sécurité de Prisma en mars dernier, la perte totale s’est élevée à 14 millions de dollars, provenant de 17 adresses de portefeuilles. Chaque portefeuille a perdu en moyenne 820 000 dollars, mais 4 utilisateurs concentraient à eux seuls 80 % des pertes. Une grande partie de ces actifs volés n’a toujours pas été récupérée.
En définitive, DeFi, en particulier sur les blockchains principales, implique des frais de gaz non négligeables. Ce n’est donc qu’à partir d’un certain volume d’actifs que les participants peuvent véritablement générer des bénéfices (hormis les récompenses d’airdrop). Par conséquent, la majeure partie du TVL (Total Value Locked) provient généralement des « baleines ». Dans certains projets, seulement 2 % des grands détenteurs contribuent à 80 % du TVL. Lorsqu’un incident de sécurité survient, ces « baleines » absorbent inévitablement la majeure partie des pertes. « Ne voyez pas seulement les baleines profiter, elles prennent aussi des coups. »
Équipe de sécurité du portefeuille Web3 d’OKX : Avec l’essor du monde sur chaîne, les cas de risques DeFi rencontrés par les utilisateurs augmentent chaque jour. La sécurité sur chaîne reste la demande la plus fondamentale et cruciale des utilisateurs.
Cas n°1 : Fuite de la clé privée du compte privilégié de PlayDapp. Du 9 au 12 février 2024, la plateforme de jeu PlayDapp basée sur Ethereum a subi une attaque due à une fuite de clé privée. L’attaquant a illégalement frappé et volé 1,79 milliard de jetons PLA, causant une perte d’environ 32,35 millions de dollars. L’attaquant a ajouté un nouveau frappeur dans le contrat des jetons PLA, produisant massivement des PLA, puis dispersé les fonds vers plusieurs adresses sur chaîne et des exchanges.
Cas n°2 : Attaque contre Hedgey Finance. Le 19 avril 2024, Hedgey Finance a subi une grave faille de sécurité sur Ethereum et Arbitrum, entraînant une perte d’environ 44,7 millions de dollars. L’attaquant a exploité une vulnérabilité liée à l’absence de validation des entrées utilisateur, obtenant ainsi une autorisation sur les contrats vulnérables, permettant de dérober les actifs du protocole.
Q2 : Pouvez-vous résumer les principaux types de risques existants dans le domaine DeFi actuellement ?
Équipe de sécurité du portefeuille Web3 d’OKX : Sur la base de cas réels, nous avons identifié quatre catégories courantes de risques dans le domaine DeFi :
Première catégorie : les attaques d’hameçonnage (phishing). Très répandues dans les cyberattaques, elles consistent à se faire passer pour une entité ou une personne légitime afin d’induire les victimes en erreur et leur faire divulguer des informations sensibles telles que les clés privées, mots de passe ou autres données personnelles. Dans le domaine DeFi, les attaques de phishing se manifestent typiquement de la manière suivante :
1) Sites web falsifiés : Des attaquants créent des sites imitant fidèlement ceux de véritables projets DeFi, incitant les utilisateurs à signer des transactions d’autorisation ou de transfert.
2) Ingénierie sociale : Sur Twitter, des attaquants utilisent des comptes usurpés ou piratent les comptes officiels Twitter ou Discord d’un projet pour publier de fausses promotions ou des annonces d’airdrops (en réalité des liens de phishing), piégeant ainsi les utilisateurs.
3) Contrats intelligents malveillants : Des attaquants publient des contrats intelligents ou projets DeFi apparemment attractifs, incitant les utilisateurs à leur accorder des permissions d’accès, afin de voler leurs fonds.
Deuxième catégorie : les Rugpulls. Spécifiques au domaine DeFi, les rugpulls désignent une escroquerie où les développeurs d’un projet retirent soudainement tous les fonds après avoir attiré de gros investissements, puis disparaissent. Ces fraudes surviennent fréquemment sur les DEX (exchanges décentralisés) ou dans les projets de minage de liquidité. Les formes principales incluent :
1) Retrait de liquidité : Les développeurs fournissent initialement une grande liquidité dans un pool pour attirer les investisseurs, puis retirent brutalement toute la liquidité, faisant s’effondrer le prix du jeton et causant de lourdes pertes aux investisseurs.
2) Projet fictif : Les développeurs créent un projet DeFi qui semble légitime, promettant de faux rendements élevés pour attirer les investissements, alors qu’aucun produit ou service réel n’existe.
3) Modification des droits du contrat : Les développeurs exploitent une porte dérobée ou des droits spéciaux dans le contrat intelligent pour modifier arbitrairement les règles du contrat ou retirer les fonds à tout moment.
Troisième catégorie : vulnérabilités des contrats intelligents. Les contrats intelligents sont des codes exécutés automatiquement sur la blockchain ; une fois déployés, ils deviennent immuables. Si un contrat contient des failles, cela peut entraîner de graves problèmes de sécurité. Les vulnérabilités courantes incluent :
1) Vulnérabilité de réentrance : L’attaquant rappelle répétitivement un contrat vulnérable avant que l’appel précédent ne soit terminé, provoquant un dysfonctionnement de l’état interne du contrat.
2) Erreur logique : Une erreur dans la conception ou l’implémentation du contrat conduit à un comportement imprévu ou à une faille.
3) Dépassement d’entier (integer overflow) : Le contrat ne gère pas correctement les opérations arithmétiques, entraînant un dépassement ou un sous-dépassement.
4) Manipulation de prix : L’attaquant manipule les prix via les oracles pour mener une attaque.
5) Perte de précision : En raison de problèmes de précision liés aux nombres flottants ou entiers, des erreurs de calcul surviennent.
6) Absence de validation des entrées : Les données fournies par l’utilisateur ne sont pas suffisamment validées, exposant à des risques potentiels.
Quatrième catégorie : risques de gouvernance. Ces risques concernent les mécanismes de décision et de contrôle central du projet. S’ils sont mal utilisés, ils peuvent conduire le projet hors de ses objectifs initiaux, voire causer de lourdes pertes économiques et une crise de confiance. Les types de risques courants incluent :
1) Fuite de clé privée
Certains projets DeFi utilisent des comptes externes (EOA) ou des portefeuilles multisignatures pour contrôler des comptes privilégiés. Si ces clés privées fuient ou sont volées, les attaquants peuvent manipuler librement les contrats ou les fonds.
2) Attaques de gouvernance
Même si certains projets DeFi adoptent un modèle de gouvernance décentralisé, ils présentent encore les risques suivants :
· Emprunt de jetons de gouvernance : L’attaquant emprunte massivement des jetons de gouvernance pour manipuler temporairement le résultat du vote.
· Contrôle de la majorité des droits de vote : Si les jetons de gouvernance sont concentrés entre peu de mains, ces détenteurs peuvent contrôler toutes les décisions du projet grâce à leur pouvoir de vote centralisé.
Q3 : Quels critères ou paramètres permettent d’évaluer rapidement la sécurité et le niveau de risque d’un projet DeFi ?
Équipe de sécurité BlockSec : Avant de participer à un projet DeFi, il est essentiel d’en effectuer une évaluation globale de sécurité. Cela est particulièrement crucial pour les investisseurs aux volumes importants, car une diligence raisonnable peut maximiser la sécurité de leurs fonds.

Premièrement, il est recommandé d’évaluer la sécurité du code du projet : vérifiez si le projet a été audité, si l’audit a été réalisé par une société réputée en sécurité, si plusieurs sociétés d’audit ont participé, et si le code le plus récent a été audité. Généralement, si le code en production a été audité par plusieurs sociétés de sécurité réputées, le risque d’attaque est considérablement réduit.
Deuxièmement, examinez si le projet a mis en place un système de surveillance de sécurité en temps réel. L’audit garantit une sécurité statique, mais ne résout pas les problèmes dynamiques post-lancement. Par exemple, une modification inappropriée des paramètres clés du projet ou l’ajout d’un nouveau pool. Si le projet utilise un système de surveillance en temps réel, son niveau de sécurité en fonctionnement sera supérieur à celui des protocoles qui n’en disposent pas.
Troisièmement, vérifiez si le projet dispose d’une capacité de réponse automatique en cas d’urgence. Cette capacité est longtemps restée ignorée par la communauté. Dans de nombreux incidents de sécurité, nous constatons que les projets n’ont pas pu activer automatiquement un mécanisme de coupure (ou bloquer des opérations sensibles). Face à une urgence, la plupart recourent à une intervention manuelle, méthode prouvée inefficace, voire totalement inopérante.
Quatrièmement, examinez les dépendances externes du projet et leur robustesse. Un projet DeFi dépend souvent d’informations fournies par des tiers, telles que les prix ou la liquidité. Il faut donc évaluer la sécurité du projet selon trois axes : le nombre de dépendances, la sécurité des projets tiers, et l’existence d’un système de surveillance et de traitement en temps réel des données anormales. En général, un projet reposant sur des partenaires majeurs et disposant d’un système tolérant aux erreurs et traitant en temps réel les anomalies est plus sécurisé.
Cinquièmement, observez si le projet dispose d’une bonne structure de gouvernance communautaire. Cela inclut la présence d’un mécanisme de vote communautaire pour les grandes décisions, l’utilisation d’un multisig pour les opérations sensibles, l’inclusion de membres neutres de la communauté dans le multisig, ou encore l’existence d’un comité de sécurité communautaire. Ces structures renforcent la transparence du projet et réduisent le risque de rugpull.
Enfin, l’historique du projet est crucial. Il convient d’enquêter sur l’arrière-plan de l’équipe et des membres clés. Si les membres fondateurs ont été impliqués dans des projets antérieurs attaqués ou ayant fait l’objet de rugpulls, le risque de sécurité du nouveau projet sera probablement élevé.
En résumé, avant de participer à un projet DeFi, les utilisateurs, surtout ceux aux volumes importants, doivent effectuer des recherches approfondies. Ils doivent évaluer l’investissement du projet en matière de sécurité, tant avant son lancement (audits du code) qu’après (surveillance en temps réel, capacité de réponse automatique), tout en examinant les dépendances externes, la gouvernance et l’historique du projet afin de protéger leurs fonds.
Équipe de sécurité du portefeuille Web3 d’OKX : Bien qu’il soit impossible de garantir à 100 % la sécurité d’un projet DeFi, les utilisateurs peuvent croiser plusieurs dimensions pour évaluer rapidement sa sécurité et son niveau de risque.
1. Sécurité technique du projet
1) Audit des contrats intelligents :
a) Vérifiez si le projet a été audité par plusieurs sociétés d’audit, et si celles-ci jouissent d’une bonne réputation et d’une solide expérience.
b) Examinez le nombre et la gravité des problèmes signalés dans les rapports d’audit, et assurez-vous que toutes les failles ont été corrigées.
c) Vérifiez si le code déployé correspond exactement à la version auditée.
2) Code source ouvert :
a) Vérifiez si le code du projet est open source. Un code accessible permet à la communauté et aux experts de sécurité d’examiner le projet et de détecter d’éventuelles failles.
b) Arrière-plan de l’équipe de développement : Informez-vous sur l’expérience et la notoriété de l’équipe, notamment dans les domaines blockchain et cybersécurité, ainsi que sur leur transparence et la disponibilité des informations publiques.
c) Programme de primes aux bogues : Le projet dispose-t-il d’un programme de bug bounty pour inciter les chercheurs en sécurité à signaler des failles ?
3) Sécurité financière et économique
a) Montant verrouillé (TVL) : Examinez le volume d’actifs verrouillés dans les contrats intelligents. Un TVL élevé indique souvent un niveau de confiance plus élevé.
b) Volume d’échanges et liquidité : Évaluez le volume des transactions et la liquidité. Une faible liquidité augmente le risque de manipulation des prix.
c) Modèle économique du jeton : Analysez la distribution des jetons, les mécanismes d’incitation et le modèle d’inflation. Par exemple, existe-t-il une concentration excessive de détention ?
4) Sécurité opérationnelle et de gestion
a) Mécanisme de gouvernance : Comprenez le modèle de gouvernance du projet. Existe-t-il une gouvernance décentralisée ? La communauté peut-elle voter sur les décisions importantes ? Analysez la distribution des jetons de gouvernance et le degré de concentration du pouvoir de vote.
b) Mesures de gestion des risques : Le projet dispose-t-il de mesures de gestion des risques et d’un plan d’urgence ? Comment fait-il face aux menaces de sécurité ou aux attaques économiques ? De plus, examinez la transparence du projet et sa communication avec la communauté : publie-t-il régulièrement des rapports d’avancement et des mises à jour de sécurité ? Communique-t-il activement avec les utilisateurs et résout-il leurs problèmes ?
5) Réputation sur le marché et auprès de la communauté
a) Activité communautaire : Évaluez l’activité de la communauté et la taille de la base d’utilisateurs. Une communauté active signifie généralement un soutien large.
b) Retombées médiatiques et sociales : Analysez les avis du projet sur les médias et les réseaux sociaux pour comprendre l’opinion des utilisateurs et des experts du secteur.
c) Partenaires et investisseurs : Vérifiez si le projet bénéficie du soutien de partenaires ou d’investisseurs reconnus. Des partenaires et investisseurs de bonne réputation peuvent renforcer la crédibilité du projet, mais cela ne constitue pas un critère décisif de sécurité.
Q4 : Comment les utilisateurs doivent-ils lire les rapports d’audit et évaluer l’état du code open source ?
Équipe de sécurité BlockSec : Les projets ayant subi un audit publient généralement les rapports d’audit sur leurs canaux officiels. Ces documents sont souvent accessibles dans la documentation du projet ou dans leur dépôt GitHub. Il est également nécessaire de vérifier l’authenticité du rapport : par exemple, en contrôlant la signature numérique du rapport ou en contactant directement la société d’audit pour confirmation.
Une fois en possession du rapport d’audit, comment un investisseur doit-il l’analyser ?
Premièrement, vérifiez si le projet a été audité par des sociétés de sécurité réputées, telles qu’OpenZeppelin, Trail of Bits ou BlockSec.
Deuxièmement, vérifiez si les problèmes mentionnés dans le rapport ont tous été corrigés. Dans le cas contraire, examinez attentivement les justifications du projet. Il faut aussi distinguer les rapports de vulnérabilités valides de ceux qui ne le sont pas. Étant donné qu’il n’existe pas de norme uniforme dans le secteur, les sociétés d’audit établissent leurs propres évaluations selon leurs critères. Il est donc crucial de se concentrer sur les vulnérabilités confirmées. Ce processus bénéficiera d’une évaluation indépendante par une équipe de conseil en sécurité tierce.
Troisièmement, comparez la date de l’audit avec celle de la dernière mise à jour du projet. Assurez-vous également que le code couvert par l’audit correspond à l’ensemble du code actuellement en ligne. En raison de contraintes de coûts, les projets audient parfois uniquement une partie de leur code. Il faut donc vérifier que les parties auditées comprennent bien les composants centraux du protocole.
Quatrièmement, vérifiez si le code en production est vérifié (open source) et s’il correspond exactement au code audité. Un audit se base généralement sur le code GitHub, pas sur le code déployé. Si le code déployé n’est pas open source ou diffère fortement du code audité, cela doit alerter.
En résumé, la lecture d’un rapport d’audit est une tâche hautement technique. Il est fortement recommandé de faire appel à un expert externe indépendant pour obtenir un avis consultatif.
Équipe de sécurité du portefeuille Web3 d’OKX : Les utilisateurs peuvent consulter les rapports d’audit et l’état open source via le site officiel du projet DeFi ou des sites tiers comme OKLink. Voici les étapes habituelles :
Premièrement, recherchez les annonces officielles ou le site web. La plupart des projets DeFi fiables affichent leurs documents sur leur site officiel. Sur la page de documentation, cherchez un lien vers « Sécurité », « Audit » ou « Adresses des contrats », qui redirige vers les rapports d’audit et les adresses déployées. Outre le site, ces informations sont souvent publiées sur les médias sociaux officiels comme Medium ou Twitter.
Deuxièmement, après avoir trouvé les adresses contractuelles sur le site, utilisez un explorateur comme OKLink pour consulter l’adresse déployée. Allez dans l’onglet « Contrat » pour voir si le code source est disponible.
Troisièmement, une fois en possession du rapport d’audit et du code source, commencez à lire le rapport en tenant compte des points suivants :
1) Comprenez la structure du rapport : ayez une vue d’ensemble. Un rapport d’audit comprend généralement une introduction, les problèmes détectés, les solutions proposées, et les conclusions.
2) Dans l’introduction, portez attention à la portée de l’audit. Le rapport indique souvent l’identifiant Git (commit ID) du code soumis. Comparez-le avec le code open source déployé sur la chaîne.
3) Lors de la lecture des sections « Problèmes détectés », « Recommandations » et « Conclusions », concentrez-vous sur les corrections apportées par l’équipe. Vérifiez si les modifications ont fait l’objet d’un nouvel audit pour garantir la correction complète des failles.
4) Comparez plusieurs rapports. Si le projet a été audité plusieurs fois, examinez les différences entre les rapports pour comprendre l’amélioration continue de la sécurité.
Q5 : Quelle est la valeur indicative des antécédents d’attaques et des programmes de primes aux bogues pour la sécurité d’un projet DeFi ?
Équipe de sécurité du portefeuille Web3 d’OKX : Les antécédents d’attaques et les programmes de bug bounty offrent une indication utile pour évaluer la sécurité d’un projet DeFi, notamment sur les aspects suivants :
1) Antécédents d’attaques
a) Révélation des vulnérabilités passées : L’historique d’attaques montre les failles concrètes déjà exploitées. Cela permet aux utilisateurs de comprendre les problèmes passés et de savoir s’ils ont été complètement corrigés.
b) Capacité de gestion des risques : La manière dont un projet réagit aux incidents de sécurité reflète sa maturité. Un projet qui répond rapidement, corrige les failles et indemnise les victimes inspire davantage confiance.
c) Crédibilité du projet : Des problèmes de sécurité récurrents nuisent à la confiance. Toutefois, un projet capable d’apprendre de ses erreurs et de renforcer sa sécurité peut construire une réputation durable.
2) Programmes de primes aux bogues (bug bounty)
La mise en œuvre de programmes de bug bounty dans les projets DeFi et autres logiciels est une stratégie clé pour renforcer la sécurité et découvrir des failles cachées. Ces programmes apportent plusieurs valeurs indicatives :
a) Audit externe renforcé : Ces programmes encouragent les chercheurs en sécurité du monde entier à participer à l’audit du projet. Cette approche « externalisée » peut révéler des failles que les audits internes auraient pu manquer.
b) Validation de l’efficacité des mesures : Un programme de bug bounty permet de tester en conditions réelles l’efficacité des mesures de sécurité. Si un projet accumule peu de failles critiques malgré un programme actif, cela indique probablement un niveau de sécurité élevé.
c) Amélioration continue : Ces programmes favorisent une évolution permanente. À mesure que de nouvelles techniques d’attaque apparaissent, ils aident les équipes à renforcer rapidement leurs défenses.
d) Culture de la sécurité : L’existence et la vitalité d’un programme reflètent l’engagement du projet envers la sécurité. Un programme actif témoigne d’une volonté de construire une culture solide.
e) Confiance de la communauté et des investisseurs : Un programme efficace rassure la communauté et attire davantage d’investisseurs, qui préfèrent les projets démontrant un fort engagement en matière de sécurité.
Q6 : Comment les utilisateurs peuvent-ils développer une capacité de surveillance et de détection des risques lorsqu’ils participent à DeFi ?
Équipe de sécurité BlockSec : Prenons l’exemple des « baleines ». Il s’agit généralement d’investisseurs individuels ou de petites institutions dont le volume d’actifs est important, mais qui ne disposent pas d’équipes de sécurité solides ni de capacités internes pour développer des outils de sécurité. Jusqu’à présent, la plupart des « baleines » n’ont donc pas une capacité suffisante de détection des risques, sinon elles n’auraient pas subi de telles pertes.
Face à des risques de pertes massives, certains grands utilisateurs commencent à s’appuyer consciemment sur des outils de sécurité publics pour surveiller et détecter les risques. De nombreuses équipes proposent désormais des produits de surveillance, mais le choix est crucial. Voici quelques points clés :
Tout d’abord, le coût d’utilisation. Beaucoup d’outils, bien que puissants, nécessitent des compétences en programmation, ce qui élève le seuil d’entrée. Pour un utilisateur, comprendre l’architecture d’un contrat ou collecter des adresses n’est pas simple.
Ensuite, la précision. Personne ne souhaite recevoir plusieurs alertes nocturnes pour finalement découvrir qu’il s’agissait de faux positifs. Cela serait psychologiquement insupportable. La précision est donc cruciale.
Enfin, la sécurité. À cette échelle financière, on ne peut ignorer les risques liés à l’outil ou à son équipe développeuse. Récemment, l’attaque de Gala Game aurait été causée par l’intégration d’un fournisseur tiers non sécurisé. Des équipes fiables et des produits de confiance sont donc essentiels.
À ce jour, de nombreuses « baleines » nous ont contactés. Nous leur recommandons des solutions professionnelles de gestion d’actifs, leur permettant de protéger leurs fonds tout en assurant une gestion quotidienne fluide (« miner, withdraw, sell »), de détecter les risques, voire de retirer leurs fonds en situation d’urgence.

Q7 : Recommandations de sécurité pour participer à DeFi, et comment gérer les risques ?
Équipe de sécurité BlockSec : Pour les investisseurs aux volumes importants, la priorité absolue lors de la participation à un protocole DeFi est la sécurité du capital initial. Après une analyse approfondie des risques potentiels, l’investissement peut être envisagé. Voici quelques pistes pour garantir la sécurité des fonds :
Premièrement, évaluez largement l’engagement du projet en matière de sécurité. Cela inclut : un audit de sécurité complet, la capacité de surveillance et de réponse automatique aux risques, un bon mécanisme de gouvernance communautaire, etc. Ces éléments reflètent si le projet accorde une importance suffisante à la sécurité des fonds des utilisateurs.
Deuxièmement, les gros investisseurs doivent construire leur propre système de surveillance et de réponse automatique. En cas d’incident, ils doivent pouvoir détecter rapidement la menace et retirer leurs fonds, plutôt que de tout miser sur la réaction du projet. En 2023, de nombreux projets célèbres ont été attaqués (Curve, KyberSwap, Euler Finance…). Malheureusement, les grands investisseurs manquaient souvent d’informations rapides et efficaces, et ne disposaient pas de systèmes de surveillance ou d’évacuation d’urgence.
Troisièmement, choisissez de bons partenaires de sécurité pour surveiller continuellement la sécurité des projets investis. Toute mise à jour de code ou changement de paramètre critique doit être détecté rapidement et évalué. Sans équipe ni outil spécialisé, cela est difficile à réaliser.
Enfin, protégez rigoureusement vos clés privées. Pour les comptes nécessitant des transactions fréquentes, combinez mieux une solution multisignature en ligne avec une sauvegarde hors ligne, éliminant ainsi le risque unique lié à une seule adresse ou clé.
Et si un projet investi fait face à un risque de sécurité, que faire ?
Toute « baleine » ou investisseur touché voudra d’abord sauver son capital. Retirer rapidement les fonds est la priorité absolue. Mais les attaquants agissent vite, et une action manuelle est souvent trop lente. Il vaut mieux automatiser le retrait en cas de risque. Nous proposons des outils capables de déclencher automatiquement le retrait après détection d’une transaction suspecte, permettant une sortie prioritaire.
Ensuite, si des pertes surviennent, outre tirer les enseignements, il faut pousser le projet à demander l’aide d’une société de sécurité pour retracer et surveiller les fonds perdus. Avec la prise de conscience croissante de la sécurité dans le secteur crypto, le taux de récupération progresse lentement.
Enfin, si vous êtes un gros investisseur, demandez à une société de sécurité d’auditer vos autres investissements. Souvent, la cause racine est similaire. Par exemple, le problème de perte de précision dans Compound V2 a conduit à de multiples attaques similaires l’année dernière. Faites analyser votre portefeuille par une société de sécurité. En cas de risque détecté, contactez rapidement le projet ou retirez vos fonds.
Équipe de sécurité du portefeuille Web3 d’OKX : Lors de la participation à des projets DeFi, les utilisateurs peuvent adopter plusieurs mesures pour participer plus sûrement, réduire les risques de pertes et profiter des rendements de la finance décentralisée. Nous abordons cela à deux niveaux : utilisateur et portefeuille Web3 d’OKX.
1) Pour l’utilisateur :
a) Choisissez des projets audités : Privilégiez les projets ayant fait l’objet d’audits par des sociétés tierces reconnues (ConsenSys Diligence, Trail of Bits, OpenZeppelin, Quantstamp, ABDK). Lisez les rapports publics pour comprendre les risques potentiels et les correctifs appliqués.
b) Informez-vous sur le projet et son équipe : Étudiez le livre blanc, le site officiel et le profil des développeurs pour garantir transparence et fiabilité. Suivez leur activité sur les réseaux sociaux et forums techniques.
c) Diversifiez vos investissements : N’investissez pas tous vos fonds dans un seul projet ou actif. Répartissez-les entre différents types de projets DeFi (prêts, DEX, farming…) pour limiter l’exposition au risque.
d) Testez avec de petits montants : Avant de faire de grosses transactions, effectuez d’abord des tests mineurs pour valider la sécurité de l’opération et de la plateforme.
e) Surveillez régulièrement votre compte et préparez une réponse d’urgence : Vérifiez fréquemment vos comptes et actifs DeFi pour détecter tout mouvement anormal. Utilisez des outils comme Etherscan pour surveiller les transactions. En cas d’anomalie, révoquez immédiatement toutes les autorisations ou contactez l’équipe de sécurité du portefeuille.
f) Soyez prudent avec les nouveaux projets : Restez vigilant vis-à-vis des projets récents ou non éprouvés. Commencez par y investir de petits montants pour observer leur stabilité et leur sécurité.
g) Utilisez un portefeuille Web3 majeur : Interagissez uniquement avec des projets DeFi via des portefeuilles Web3 populaires, qui offrent de meilleures protections.
h) Protégez-vous contre le phishing : Ne cliquez pas sur des liens suspects ou des e-mails non sollicités. Ne saisissez jamais vos clés privées ou phrases de récupération sur des sites non fiables. Accédez uniquement aux sites officiels. Téléchargez les applications et portefeuilles depuis des sources officielles.
2) Au niveau du portefeuille Web3 d’OKX :
Nous proposons de nombreux mécanismes de sécurité pour protéger les fonds des utilisateurs :
a) Détection des domaines à risque : Lorsqu’un utilisateur visite un DApp, le portefeuille Web3 d’OKX analyse le nom de domaine. Si le DApp est malveillant, il bloque ou alerte l’utilisateur.

b) Détection des jetons « Pi Xiu Pan » : Le portefeuille d’OKX intègre une détection avancée des jetons « Pi Xiu Pan », bloquant automatiquement ces jetons pour empêcher toute interaction.
c) Base de données d’adresses labellisées : Le portefeuille dispose d’une base riche de labels d’adresses. En cas d’interaction avec une adresse suspecte, une alerte est immédiatement affichée.
d) Exécution préalable des transactions : Avant toute soumission, le portefeuille simule l’exécution de la transaction et affiche clairement les changements d’actifs et d’autorisations. L’utilisateur peut ainsi juger si le résultat correspond à ses attentes.

e) Intégration d’applications DeFi : Le portefeuille Web3 d’OKX intègre déjà de nombreux projets DeFi majeurs. Les utilisateurs peuvent interagir en toute confiance. De plus, OKX recommande des chemins optimaux (DEX, ponts cross-chain) pour offrir la meilleure expérience DeFi et le meilleur coût en gaz.

f) Autres services de sécurité : Le portefeuille Web3 d’OKX ajoute progressivement de nouvelles fonctionnalités de sécurité et développe des services avancés pour mieux protéger ses utilisateurs.
Q8 : Non seulement les utilisateurs, mais aussi les projets DeFi font face à des risques. Quels sont-ils et comment s’en prémunir ?
Équipe de sécurité BlockSec : Les projets DeFi font face à trois types principaux de risques : risques liés au code, à l’exploitation, et aux dépendances externes.
1) Risques liés au code : Failles potentielles au niveau du code du projet. Pour un projet DeFi, les contrats intelligents constituent la logique centrale (la gestion traditionnelle du front-end et back-end étant plus mature). Les points clés sont :
a) Adopter les meilleures pratiques de développement sécurisé : Appliquer des modèles reconnus comme Checks-Effects-Interactions pour éviter les réentrances. Préférer des bibliothèques tierces fiables aux développements maison, réduisant ainsi les risques inconnus.
b) Tester rigoureusement en interne : Le test est crucial, mais les tests locaux ne suffisent pas. Il faut tester dans un environnement proche du déploiement réel, par exemple avec des outils comme Phalcon Fork.
c) Faire appel à des sociétés d’audit réputées : Bien qu’un audit ne garantisse pas 100 % de sécurité, il aide à identifier de nombreuses failles connues. Si le budget le permet, faites auditer par deux sociétés ou plus.
2) Risques opérationnels : Risques pendant l’exploitation post-lancement. Même après un bon développement, des tests et audits, des failles inconnues peuvent subsister. De plus, d’autres risques surgissent : fuite de clé privée, mauvais réglage de paramètres critiques, etc. Solutions recommandées :
a) Gestion robuste des clés privées : Utilisez des portefeuilles matériels fiables ou des solutions MPC.
b) Surveillance de l’état d’exécution : Mettez en place une surveillance en temps réel des opérations privilégiées et de l’état de sécurité du projet.
c) Réponse automatisée aux risques : Par exemple, avec BlockSec Phalcon, bloquez automatiquement une attaque pour limiter les pertes.
d) Évitez les points uniques de défaillance : Utilisez un portefeuille multisignature (Safe) pour les opérations sensibles.
3) Risques liés aux dépendances externes : Par exemple, dépendance à un oracle de prix tiers. Si l’oracle échoue, les calculs de prix deviennent erronés. Recommandations :
a) Choisissez des partenaires externes fiables : Privilégiez des protocoles majeurs reconnus.
b) Surveillez l’état des dépendances : Comme pour les risques opérationnels, mais ciblé sur les dépendances externes.
c) Réponse automatisée adaptée : Par exemple, basculez vers un oracle de secours au lieu de suspendre tout le protocole.
En outre, pour les projets souhaitant développer une capacité de surveillance, voici quelques conseils :
a) Placer correctement les points de surveillance : Identifiez les états clés (variables) et les endroits critiques à surveiller. Pour la détection d’attaques, utilisez un moteur d’analyse externe, éprouvé et professionnel.
b) Garantir la précision et la rapidité : Une surveillance avec trop de faux positifs ou de faux négatifs est inutilisable. Elle doit aussi être assez rapide pour permettre une réponse en temps utile (avant qu’une transaction d’attaque ne soit validée).
c) Capacité de réponse automatisée : Une surveillance précise et rapide permet de construire une réponse automatique (pause du protocole, blocage, etc.). Un cadre fiable et personnalisable est nécessaire.
En résumé, la construction d’une capacité de surveillance nécessite l’appui d’un fournisseur externe spécialisé.
Équipe de sécurité du portefeuille Web3 d’OKX : Les projets DeFi font face à plusieurs types de risques, notamment :
1) Risques techniques : Principalement les vulnérabilités des contrats intelligents et les attaques réseau. Mesures : adoption de bonnes pratiques de développement, audits complets par des sociétés tierces, programmes de primes aux bogues, et isolement des actifs pour renforcer la sécurité.
2) Risques de marché : Volatilité des prix, risques de liquidité, manipulations de marché, et risques combinatoires. Mesures : utilisation de stablecoins et de stratégies de couverture, minage de liquidité et mécanismes de frais dynamiques, vérification stricte des actifs supportés et utilisation d’oracles décentralisés pour éviter les manipulations, innovation continue pour faire face à la concurrence.
3) Risques opérationnels : Erreurs humaines et risques liés à la gouvernance. Mesures : procédures strictes, outils d’automatisation, mécanismes de gouvernance équilibrés (délai de vote, multisig), surveillance continue et plans d’urgence pour minimiser les pertes.
4) Risques réglementaires : Conformité légale, obligations AML/KYC. Mesures : recrutement de juristes, politique de conformité transparente, mise en œuvre proactive des mesures AML/KYC pour renforcer la confiance.
Q9 : Comment un projet DeFi peut-il choisir une bonne société d’audit ?
Équipe de sécurité BlockSec : Voici quelques critères simples pour aider un projet De
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News










