Le FBI met en garde contre la complexité de la finance décentralisée
La cavalerie lourde débarque sur la finance décentralisée (DeFi). Dans une note, la police fédérale américaine (le FBI) fustige la «complexité» des architectures comme les bridges, qui permettent à des crypto-actifs de circuler d’une blockchain à une autre, et dont «les cybercriminels chercheraient à tirer parti». Les autorités américaines mentionnent les chiffres de Chainalysis, référence mondiale pour le traçage des flux en crypto-actifs, qui détaille que 1,3 milliard de dollars en crypto-actifs ont été volés entre janvier et mars 2022, dont 97% à des plateformes de finance décentralisée, ces chiffres ne prenant pas en compte le hack de Harmony à 100 millions de dollars du 24 juin, ni celui de Nomad, évalué à 190 millions de dollars, du 4 août.
Vulnérabilités des ‘smart contracts’
Pour illustrer son propos, le Bureau fédéral cite trois exemples d’attaques de smart contracts, ces programmes informatiques paramétrables qui constituent l’architecture permettant à la finance décentralisée de fonctionner. D’abord, les hacks au «flash loan», une des plus complexes à réaliser, dont a notamment été victime l’écosystème Solana. Avant d’être une technique de hack, cette pratique a été mise sur le marché par le protocole Aave pour permettre à un utilisateur de contracter un prêt sans garanties et qui doit être remboursé dans la même transaction. S’il ne l’est pas, la transaction est simplement annulée. Cette technique permet de contourner une des règles de la DeFi, selon laquelle une surcollatéralisation de la garantie est toujours nécessaire pour emprunter de l’argent.
Autres composants visés par le FBI : les oracles. Il s’agit d’un ensemble de données intégrées aux smart contracts permettant à ces derniers de faire le lien avec le monde externe à la blockchain. Ils sont par exemple indispensables au jeu de football Sorare, dans lequel les joueurs vont gagner des récompenses en fonction de la performance des joueurs dans le monde réel. Les cyberattaquants vont notamment manipuler les prix en utilisant le slippage, une méthode qui leur permet de réaliser un arbitrage frauduleux sur un actif «entre le moment où la transaction est soumise et celui où elle est validée sur la ‘blockchain’».
Le FBI revient également sur l’attaque du bridge Wormhole, à 320 millions de dollars début février. Dans ce cas, les hackers avaient réussi à falsifier le système de signature électronique. «Le point commun de ces hacks, c’est que les attaquants ont réussi à berner les ‘smart contracts’. Plus l’architecture de ces derniers est complexe et plus la probabilité de présence de failles est grande», explique Frédéric Ocana, chef de projet en cybersécurité à la Banque de France de 2017 à 2021. «Certains gros projets crypto ne consacrent clairement pas assez de ressources à la sécurité et à la relecture de leurs ‘smart contracts’. Des négligences qui peuvent coûter très cher, comme on l’a vu ces derniers temps», ajoute-t-il. Dans une étude publiée le 15 juin, KPMG soulignait le manque d’experts en cybersécurité capables d’auditer les projets crypto.
En conséquence, le FBI conseille aux investisseurs de bien s’assurer que les plateformes effectuent «un ou plusieurs audits de code réalisés par des auditeurs indépendants», mais aussi, pour les plateformes crypto, qu’elles mettent en place des processus d’alerte pour les investisseurs «lorsque l’exploitation de ‘smart contracts’, des vulnérabilités ou d’autres activités suspectes sont détectées».
Plus d'articles du même thème
-
L’Esma a lancé une action de surveillance des prestataires de services crypto
Le rapport final sera soumis à son conseil de surveillance au second semestre 2027. -
Les CGP, privés de conseil en cryptomonnaies, espèrent un assouplissement des règles
En vigueur depuis le 1er juillet, le règlement européen MiCA réduit drastiquement les pouvoirs des conseillers en gestion de patrimoine pour les crypto-actifs. L'Autorité des marchés financiers pourrait assouplir sa position, mais à date, il faut éviter toute forme de conseil sur cette classe d'actifs. -
Melanion Digital autorise les souscriptions en stablecoins pour son fonds
La plateforme digitale native a intégré l'infrastructure de paiement de Fipto afin de permettre les souscriptions en stablecoins à son fonds Sigma Market Neutral Fund, domicilié au Luxembourg.
ETF à la Une
Amundi lance un ETF sur les actions monde
- BNP Paribas et Caceis veulent sortir du métier des services aux émetteurs
- Les ambitions d’Air France-KLM sont freinées par des vents contraires
- Apple injecte 30 milliards de dollars dans des puces Broadcom conçues aux Etats-Unis
- Le gouvernement annonce de nouvelles économies et évoque un dérapage du déficit public
- Le pétrole repart à la hausse après le regain de tensions au Moyen-Orient
Contenu de nos partenaires
-
#DigitalCitizenA un pixel près
Entre injonction de la CNIL, agacement d’être suivi et plaisir de tout partager, un programme plus petit qu'une fourmi sait quand vous ouvrez vos e-mails, où et sur quel écran -
Royaume-Uni : Andy Burnham a engrangé assez de soutien au Labour pour devenir Premier ministre
L'ancien maire du Grand Manchester, Andy Burnham, a obtenu le soutien nécessaire des députés travaillistes. Il lui reste a gagner l’aval de trois organisations affiliées, dont au moins deux syndicats. Ce qui devrait être une formalité -
Voilà du boudin« L'intégration dans la Légion étrangère fonctionne dans un cadre particulier, coupé du reste de la société »
Unité emblématique de l’armée française, la Légion étrangère est un creuset réussi d’intégration, tourné vers le combat. Un livre ausculte ce monde à part