DeFi a été le porte-drapeau du boom de la cryptographie en 2020 et la chaleur a également refusé de s'atténuer jusqu'en 2021. Alors que de plus en plus de personnes investissent leurs fonds dans l’agriculture de rendement, DeFi continue de s’inscrire dans la durée.
Vous en connaissez peut-être beaucoup qui ont multiplié leurs revenus avec DeFi. Il n’est pas rare dans les cercles cryptographiques de trouver des personnes qui ont catapulté leurs fonds. 7x or 10x avec une agriculture de rendement. Les prêts flash ont été un outil majeur entre leurs mains, leur permettant de déplacer rapidement leur argent entre les protocoles dans les délais impartis et de créer de l'or.
Rôle des contrats intelligents dans le fonctionnement de la DeFi
Cependant, peu de gens réalisent le rôle des contrats intelligents dans l’exécution automatisée de ces applications puissantes. Les contrats intelligents sont des programmes informatiques immuables stockés sur une blockchain. Ces programmes entreprendraient une action lorsqu'une condition prédéterminée serait remplie. Grâce au contrat intelligent, toutes les parties prenantes peuvent être sûres du résultat, sans pour autant s’impliquer.
Qu'est-ce qui fait que les contrats intelligents se transforment en maillon faible
Les contrats intelligents sont apparus comme une révélation révolutionnaire. Cependant, il y a aussi un autre côté de la médaille. Les contrats intelligents se sont avérés être le maillon faible de l’écosystème DeFi. Les développeurs pourraient finir par écrire du mauvais code, donnant ainsi aux éléments sans scrupules des failles pour faufiler de l'argent et cacher les fonds bloqués dans le protocole. De nombreux projets DeFi sont issus des protocoles existants. Dans de tels cas, les bogues du protocole existant sont également transmis au protocole forké.
Souvent, les développeurs ne sont pas suffisamment expérimentés et compétents pour écrire du code sécurisé. Les projets ont tendance à embaucher des développeurs inexpérimentés pour économiser sur les coûts, sans se rendre compte qu'un ensemble de bugs produits par ces personnes pourraient leur coûter cher. Parfois, les développeurs peuvent laisser intentionnellement des bugs pour détourner les fonds du protocole vers leur propre portefeuille. Et puis, dans de nombreux cas, les pirates peuvent être assez intelligents pour repérer les bugs et les vulnérabilités dans un code apparemment sain et frapper par surprise. Quelle que soit la manière dont les bogues se sont retrouvés dans le code, ils peuvent constituer une menace existentielle pour le projet.
Un aperçu des fuites DeFi en 2021
Jetez un coup d’œil aux exploits DeFi qui se sont produits en 2021 et vous serez surpris de constater le grand nombre de protocoles qui ont divulgué des fonds via le contrat intelligent.
Finances – Les auteurs ont exploité la fonctionnalité de prêt flash du protocole pour empocher $11 millions de fonds d'utilisateurs via un exploit de contrat intelligent.
Alpha homora – Ce protocole de liquidité à effet de levier a été victime d’un $37.5 millions d'exploits. L'exploit impliquait l'utilisation d'une fonctionnalité qui débloquait des prêts non garantis pour des contrats intelligents de confiance.
Finance suricate – Le coffre-fort de contrats intelligents de ce protocole d'agriculture de rendement sur Binance Smart Chain a été attaqué, entraînant une perte d'environ 13 millions de BUSD et 73,000 BNB
Réseau PAYÉ – Une attaque infinie contre PAID a abouti à une perte d’environ 180 millions de dollars.
EasyFi – Une attaque contre EasyFi, construite sur le réseau Polygon, a abouti à la suppression par l'attaquant d'actifs d'une valeur $75 millions.
ForceDAO – Les pirates ont ciblé ForceDAO pour drainer 183 ETH du protocole.
Financement de l'uranium – Alors que le protocole effectuait sa migration de token, il a subi une attaque entraînant une perte de $50 millions.
spartiate – Plusieurs attaques de prêt flash sur ce protocole DeFi basé sur BSC ont entraîné une perte d'environ $30 millions.
RARI Capital – Les pirates ont vidé les coffres-forts de rendement et les pools de prêt de Rari Capital pour infliger une perte de $11 millions.
Comment les fonds sont volés sur les protocoles DeFi
Il existe trois façons de siphonner les fonds des protocoles DeFi :
Failles des contrats intelligents – Ce sont les contrats intelligents qui exécutent des fonctionnalités clés telles que la liquidité et le jalonnement, ce qui en fait une cible permanente des pirates informatiques. Les bugs dans les contrats intelligents sont la principale cause des exploits.
Prêts Flash – Les attaquants utilisent des prêts flash massifs pour gonfler le prix d'un stablecoin spécifique et multiplier leurs avoirs dans le processus. Nous ne pouvons cependant pas supprimer les prêts flash, car ils facilitent certaines fonctionnalités DeFi très utiles telles que l'arbitrage, l'échange de garanties, l'auto-liquidation et bien d'autres.
Manipulation des oracles – Les réseaux décentralisés ne peuvent accéder aux données externes que via des oracles. Le rôle d'Oracle est crucial pour obtenir des données sécurisées et fiables. Les pirates informatiques tenteraient de manipuler les oracles pour influencer les choses à leur avantage. Comme pour les prêts flash, vous ne pouvez pas supprimer Oracle, mais vous pouvez intégrer votre protocole à un Oracle décentralisé, qui est généralement plus fiable.
Doit lire - Ce qu'il ne faut pas oublier lors de l'audit de contrats intelligents dans DeFi
Moyens possibles d'attaque contre les contrats intelligents
Il pourrait y avoir plusieurs raisons pour les bugs et les vulnérabilités des contrats intelligents. Ceux-ci incluent la réentrée, le front-running, les données privées non chiffrées sur la chaîne, le code non pertinent, l'appel de message avec une quantité de gaz codée en dur, les collisions de hachage avec plusieurs arguments de longueur variable, le solde Ether inattendu, la présence de variables inutilisées, l'erreur typographique, le DoS avec bloc. limite de gaz, saut arbitraire avec variable de type de fonction, traitement de gaz insuffisant, ordre d'héritage incorrect, violation des exigences, manque de vérification de signature appropriée, sources faibles d'aléatoire provenant des attributs de chaîne, malléabilité de la signature, DoS avec appel échoué, utilisation de fonctions obsolètes, Ether non protégé retrait, et bien d’autres encore. Les développeurs doivent être conscients de toutes ces instances et de leurs descriptions de code.
Audit de contrat intelligent
Un contrat intelligent nécessite un audit approfondi avant le déploiement. Toutes les découvertes sont expliquées dans le rapport final avec les recommandations. Les niveaux de sécurité des contrats intelligents sont mesurés conformément à un ensemble de spécifications telles que critique, élevé, moyen, faible et le plus bas.
Un audit approprié implique à la fois des contrôles automatiques et manuels. L'audit automatique déploie un logiciel qui détermine la partie responsable de chaque exécution et explore où un éventuel bug pourrait survenir. L'analyse manuelle implique une équipe de développeurs chevronnés examinant chaque ligne de code. Ils peuvent vérifier une liste de vulnérabilités standard ou effectuer une vérification exploratoire basée sur leur expérience.
Emballage en place
Les contrats intelligents sont le moteur de DeFi. Pour protéger un projet DeFi des vulnérabilités, il est impératif de procéder à une vérification approfondie du contrat. L'audit automatique et manuel doit être effectué en tandem pour rendre l'audit aussi approfondi et précis que possible.
Contactez QuillAudits
Audits de plume est une plateforme sécurisée d'audits de contrats intelligents conçue par QuillHash
Les technologies.
Il s'agit d'une plate-forme d'audit qui analyse et vérifie rigoureusement les contrats intelligents pour vérifier les vulnérabilités de sécurité grâce à des Manuel revoir avec statique ainsi que Dynamic outils d'analyse, analyseurs de gaz ainsi que simulateurs. De plus, le processus d'audit comprend également des tests unitaires ainsi que analyse structurelle.
Nous menons à la fois des contrats intelligents audits ainsi que pénétration des tests pour trouver le potentiel
vulnérabilités de sécurité qui pourraient nuire à la plate-forme intégrité.
Si vous avez besoin de assistance dans les contrats intelligents audit, ne hésitez pas à nous contacter à nos experts ici!
Pour obtenir à jour avec notre travail, rejoignez notre Community:-
Twitter | LinkedIn | Facebook | Telegram
Source : https://blog.quillhash.com/2021/10/06/what-makes-defi-smart-contract-auditing-so-pivotal/
- 2020
- 2021
- 7
- accès
- Action
- Avantage
- Tous
- selon une analyse de l’Université de Princeton
- applications
- arbitrage
- arguments
- autour
- Outils
- Attaques
- audit
- Automatisation
- binance
- Chaîne intelligente Binance
- Noir
- blockchain
- ENB
- boom
- Punaise
- bogues
- Pack de blanchiment
- BUSD
- Appelez-nous
- capital
- cas
- Causes
- Contrôles
- code
- Coin
- continue
- contrat
- contrats
- Costs
- Crypto
- crypto boom
- données
- Décentralisé
- DeFi
- exploits defi
- mobiles
- Mes Revenus
- risque numérique
- ETH
- Éther
- exécution
- Découvrez
- Exploiter
- agriculture
- Fonctionnalité
- Fonctionnalités:
- Flash
- prêt flash
- prêts flash
- Test d'anglais
- fonction
- fonds
- GAS
- Don
- Or
- les pirates
- hachage
- Haute
- louer
- Comment
- HTTPS
- influencer
- impliqué
- IT
- rejoindre
- saut
- ACTIVITES
- Fuites
- LED
- prêt
- Levier
- Gamme
- LINK
- Liquidité
- Liste
- prêt
- Prêts
- Location
- majeur
- Fabrication
- moyenne
- million
- de l'argent
- Bougez
- réseau et
- réseaux
- oracle
- de commander
- Personnes
- pivot
- plateforme
- Plateformes
- Piscines
- prix
- Privé
- Programmes
- Projet
- projets
- protéger
- rapport
- Avis
- Courir
- pour le running
- sécurité
- set
- smart
- contrat intelligent
- Contrats intelligents
- se glisser
- So
- Logiciels
- Space
- Spot
- stablecoin
- Staking
- volé
- Target
- tests
- fiable
- jeton
- Migration de jetons
- top
- typeform
- Voûte
- Vérification
- vulnérabilités
- Portefeuilles
- WHO
- dans les
- Activités principales
- vaut
- écriture
- Rendement
- agriculture de rendement
