
Discutons des affaires de hackers | Revue du cinquième épisode du podcast ChainBreaker
TechFlow SélectionTechFlow Sélection

Discutons des affaires de hackers | Revue du cinquième épisode du podcast ChainBreaker
Lors de ce direct, Pan Zhixiong, directeur de recherche de ChainNews, a invité Mr. Block Chris et Winkrypto Max pour un débat approfondi sur le sujet d'actualité « Parlons des incidents de piratage ».

Résumé des points de vue abordés lors de cet événement en direct.
Introduction contextuelle
Le monde du DeFi n’a pas été tranquille la semaine dernière. Des projets comme Poly Network ou encore Ref.Finance, l’exchange décentralisé de l’écosystème NEAR, ont successivement subi des attaques de hackers, entraînant des pertes allant de plusieurs millions à plusieurs centaines de millions de dollars. Nous allons revoir ensemble quelques-uns de ces incidents, discuter des raisons pour lesquelles ces attaques sont si fréquentes, et voir comment y faire face.
Chris, Monsieur Bloc
La plupart des développeurs ne savent pas tout comme on pourrait le croire. Beaucoup agissent comme des spéculateurs : ils veulent gagner de l’argent rapidement, sans réfléchir sérieusement aux points vulnérables pouvant être attaqués. Par conséquent, même si un projet a fait l’objet de plusieurs audits, cela ne garantit pas sa sécurité absolue. Les projets relativement sûrs restent principalement les grands acteurs tels qu’Aave, Curve, Compound.
Méfiez-vous fortement des taux de rendement annuel élevés. Il peut arriver que, après avoir extrait quelques récompenses sur un tel projet, le prix du jeton s'effondre brutalement ou que le protocole soit directement piraté.
De nombreux bons projets passent beaucoup de temps à renforcer leur sécurité plutôt qu’à se faire de la publicité. Soyez donc très vigilant face aux projets qui insistent trop sur la communication ou progressent trop rapidement : ils comportent souvent des risques importants. Dès qu’un projet est attaqué une fois, la confiance globale des utilisateurs envers celui-ci diminue considérablement.
Concernant les audits, un projet audité par une société d’audit bien connue n’est pas forcément sûr. Avec l’essor du DeFi, de nombreuses sociétés d’audit accumulent énormément de commandes, ce qui les pousse à ne pas examiner minutieusement chaque contrat. La majorité des contrats aujourd’hui sont des forks — par exemple, une société a déjà audité Uniswap, puis 100 autres projets forkent Uniswap. La société d’audit suppose alors que tous sont identiques, effectuant juste un audit symbolique avant de délivrer un rapport. Toutefois, si le projet forké modifie ne serait-ce qu’une ligne de code, il est fort probable que l’auditeur ne le remarque pas. En outre, bon nombre d’entreprises font réaliser des audits non pas pour renforcer la sécurité, mais pour des raisons marketing. Ainsi, même les grandes sociétés d’audit prestigieuses peuvent ne pas être très rigoureuses, étant donné le volume élevé de demandes. C’est pourquoi certains projets feraient mieux de recourir à des sociétés locales d’audit moins sollicitées, qui seraient probablement plus attentives et responsables.
Pan Zhixiong, ChainNews
Pour les protocoles DeFi, comment améliorer la sécurité ? Premièrement, il est essentiel qu’un nouveau protocole soit audité par une ou deux sociétés spécialisées. Un audit permet de détecter des erreurs courantes. De plus, il est possible de mettre en place un programme de primes aux bogues (bug bounty) avant le déploiement officiel sur le réseau principal. Généralement, les protocoles effectuent des tests sur un réseau test, mais le problème est qu’il n’y a aucun incitatif. Même si un hacker découvre une faille, il n’a aucun intérêt à l’exploiter ou à l’alerter. Pourtant, cette faille persiste lorsque le protocole passe en production. À mesure que les fonds augmentent, les hackers deviennent intéressés.
Du côté des utilisateurs, commencez par identifier votre propre tolérance au risque. Ensuite, diversifiez vos placements : ne mettez pas toutes vos fonds dans un seul protocole. Enfin, gardez à l’esprit que le DeFi en est encore à un stade précoce. Très peu de protocoles bénéficient d’un test aussi long et approfondi que ceux d’Uniswap, Curve, Compound ou Aave. Seuls quelques-uns ont été largement éprouvés. Les nouveaux protocoles comportent donc des risques potentiels : évitez de vous y engager facilement.
Questions des utilisateurs
1. Lorsque des hackers exploitent des vulnérabilités dans un contrat intelligent pour voler de grosses sommes, existe-t-il un problème moral ou juridique ? Si le pirate de l’affaire Poly Network ne rend pas finalement les fonds, comment le consensus blockchain peut-il résoudre cela ? Devant quelle juridiction se tiendrait le procès, et quelle autorité judiciaire mènerait l’enquête ?
Pan Zhixiong, ChainNews :
Première question : certes, les contrats sont open source et accessibles à tous. Chaque contrat possède une logique métier précise et vise à offrir des services spécifiques, accompagnés de certaines limites. Par exemple, dans un pool de liquidités, des règles doivent être respectées pour garantir la sécurité des fonds. Or, il arrive que les développeurs commettent une erreur dans l’implémentation de ces règles — une ligne mal écrite, une logique incomplète, ou un bug. Si un hacker exploite une telle faille, qu’elle soit dans la logique métier ou entre la logique et le code, pour tirer profit, cela reste moralement et légalement inacceptable.
Deuxième question : si le hacker ne rembourse pas l’argent, de nombreuses victimes iront naturellement s’adresser à l’équipe d’O3 ou de Poly Network, car ce sont eux les mainteneurs du projet. Leur projet ayant échoué, ils sont perçus comme responsables.
Chris, Monsieur Bloc :
À l’avenir, une DAO pourrait émerger pour jouer le rôle de gouvernement ou de police. Les membres verseraient des fonds dans un trésor commun afin d’examiner collectivement les contrats du marché, attribuer des notes de sécurité, voire aider à corriger les failles. Le monde du DeFi manque cruellement d’une telle organisation autonome.
2. Quelles mesures un plateforme IDO peut-elle prendre pour réduire les risques et améliorer la qualité des projets ?
Pan Zhixiong, ChainNews :
Une plateforme IDO peut effectuer une vérification basique : comprendre le fonctionnement du projet, connaître l’équipe, son mode opératoire. Mais les plateformes IDO ne disposent pas de capacités d’audit technique. Elles s’appuient principalement sur les rapports d’audit fournis par des sociétés spécialisées pour évaluer la sécurité d’un projet.
À propos de ChainBreaker
L’émission en direct « ChainBreaker » est lancée par Winkrypto, une entreprise mondiale de marketing intégré pour la blockchain, en collaboration avec Mr.Block, célèbre créateur de vidéos sur YouTube avec plus de 10 000 abonnés, et ChainNews, la première plateforme chinoise dédiée aux contenus blockchain. Cette émission vise à écouter, dialoguer et connecter les communautés cryptographiques à travers le monde. Tous les vendredis à 20h00, « ChainBreaker » invite des personnalités influentes du secteur pour discuter des sujets chauds de la crypto, partager les tendances technologiques et révéler des anecdotes insolites du monde cryptographique. Participer activement aux sessions de questions-réponses offre également la chance de recevoir des cadeaux exclusifs, notamment des NFT Tickets « ChainBreaker Podcast ».
Suivez-nous et retrouvez les anciens épisodes :
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News














