Le FBI met en garde contre la complexité de la finance décentralisée

La cavalerie lourde débarque sur la finance décentralisée (DeFi). Dans une note, la police fédérale américaine (le FBI) fustige la «complexité» des architectures comme les bridges, qui permettent à des crypto-actifs de circuler d’une blockchain à une autre, et dont «les cybercriminels chercheraient à tirer parti». Les autorités américaines mentionnent les chiffres de Chainalysis, référence mondiale pour le traçage des flux en crypto-actifs, qui détaille que 1,3 milliard de dollars en crypto-actifs ont été volés entre janvier et mars 2022, dont 97% à des plateformes de finance décentralisée, ces chiffres ne prenant pas en compte le hack de Harmony à 100 millions de dollars du 24 juin, ni celui de Nomad, évalué à 190 millions de dollars, du 4 août.

Vulnérabilités des ‘smart contracts’

Pour illustrer son propos, le Bureau fédéral cite trois exemples d’attaques de smart contracts, ces programmes informatiques paramétrables qui constituent l’architecture permettant à la finance décentralisée de fonctionner. D’abord, les hacks au «flash loan», une des plus complexes à réaliser, dont a notamment été victime l’écosystème Solana. Avant d’être une technique de hack, cette pratique a été mise sur le marché par le protocole Aave pour permettre à un utilisateur de contracter un prêt sans garanties et qui doit être remboursé dans la même transaction. S’il ne l’est pas, la transaction est simplement annulée. Cette technique permet de contourner une des règles de la DeFi, selon laquelle une surcollatéralisation de la garantie est toujours nécessaire pour emprunter de l’argent.

Autres composants visés par le FBI : les oracles. Il s’agit d’un ensemble de données intégrées aux smart contracts permettant à ces derniers de faire le lien avec le monde externe à la blockchain. Ils sont par exemple indispensables au jeu de football Sorare, dans lequel les joueurs vont gagner des récompenses en fonction de la performance des joueurs dans le monde réel. Les cyberattaquants vont notamment manipuler les prix en utilisant le slippage, une méthode qui leur permet de réaliser un arbitrage frauduleux sur un actif «entre le moment où la transaction est soumise et celui où elle est validée sur la ‘blockchain’».

Le FBI revient également sur l’attaque du bridge Wormhole, à 320 millions de dollars début février. Dans ce cas, les hackers avaient réussi à falsifier le système de signature électronique. «Le point commun de ces hacks, c’est que les attaquants ont réussi à berner les ‘smart contracts’. Plus l’architecture de ces derniers est complexe et plus la probabilité de présence de failles est grande», explique Frédéric Ocana, chef de projet en cybersécurité à la Banque de France de 2017 à 2021. «Certains gros projets crypto ne consacrent clairement pas assez de ressources à la sécurité et à la relecture de leurs ‘smart contracts’. Des négligences qui peuvent coûter très cher, comme on l’a vu ces derniers temps», ajoute-t-il. Dans une étude publiée le 15 juin, KPMG soulignait le manque d’experts en cybersécurité capables d’auditer les projets crypto.

En conséquence, le FBI conseille aux investisseurs de bien s’assurer que les plateformes effectuent «un ou plusieurs audits de code réalisés par des auditeurs indépendants», mais aussi, pour les plateformes crypto, qu’elles mettent en place des processus d’alerte pour les investisseurs «lorsque l’exploitation de ‘smart contracts’, des vulnérabilités ou d’autres activités suspectes sont détectées».