Topics DeFiCurrent Page

Qu’est-ce qu’une attaque par prêt éclair — et comment puis-je m’en prémunir ?

Intermediate
DeFi
Dec 6, 2021
lecture de 3 minutes

Résumé IA

Afficher plus

Survole le contenu de l’article et évalue le sentiment du marché en 30 secondes chrono !

Résumé détaillé



La façon dont les gens perçoivent et utilisent les cryptomonnaies a beaucoup changé depuis le développement de la finance décentralisée (DeFi), notamment grâce aux plateformes financières indépendantes proposant différents types deprêts en cryptomonnaies, ce qui apporte une grande valeur ajoutée aux emprunteurs comme aux prêteurs.

L'un de ces types de prêts qui a connu une popularité fulgurante dans l'écosystèmeDeFiest le prêt flash, car il permet aux emprunteurs de profiter rapidement des opportunités d'arbitrage. Elle permet d'utiliser les fonds empruntés pour acheter un actif crypto, le vendre, rembourser le prêt et réaliser un profit.

Malheureusement, bien que l'idée soit excellente et fonctionne bien, certains exploitent cette forme de prêt. Poursuivez votre lecture pour en savoir plus sur les attaques par prêts éclair et sur la manière de s'en prémunir.

Qu'est-ce qu'une attaque par prêt éclair ?

Une attaque par prêt éclair est un abus de la sécurité des contrats intelligents d'une plateforme particulière, dans lequel un attaquant emprunte généralement une somme importante sans exiger de garantie. Ils manipulent ensuite le prix d'un actif crypto sur une plateforme d'échange et le revendent rapidement sur une autre.

Le processus est rapide, et l'attaquant le répète plusieurs fois avant de terminer et de disparaître sans laisser de traces.

Qu'est-ce qu'un prêt éclair ?

Le développement de l'écosystème de prêts DeFi a rendu les prêts en cryptomonnaies très populaires. Parce qu'ils exploitent toute la puissance des technologies actuellement disponibles, les prêts flash sont devenus une forme de prêt très attrayante.

Le terme « prêt éclair » désigne un prêt accordé par un emprunteur sans avoir besoin de fournir de garantie. Vous vous demandez peut-être : Comment est-ce possible ? Grâceau contrat intelligentd'une plateforme, l'ensemble du processus de prêt et de remboursement se déroule au sein d'une seule transaction sur la blockchain.

Cela signifie que l'emprunteur doit agir rapidement et rembourser le prêt dans un délai très court. Si le prêteur manque à ses obligations de quelque manière que ce soit, la transaction est annulée dans son intégralité, comme si rien ne s'était passé.

Le principe est simple et très pratique. Contrairement aux prêts traditionnels garantis, vous n'avez besoin d'aucune garantie, d'aucune cote de crédit ni de aucune démarche administrative pour obtenir un prêt non garanti. Vous pouvez vous procurer de grandes quantités destablecoinen quelques secondes et les utiliser à votre avantage tout aussi rapidement.

C'est ce que font certains traders sur différentes plateformes DeFi. Par exemple, les utilisateursd'Aavepeuvent obtenir de tels prêts, utiliser les fonds pour une opportunité d'arbitrage, rembourser le prêt et conserver les bénéfices.

Le processus d'emprunt et de prêt est automatisé, et lorsque tout se déroule comme prévu, le prêteur et l'emprunteur bénéficient tous deux du prêt. En cas de problème, la transaction est annulée et aucune des parties ne réalise de profit.

Les attaques par prêts éclair sont-elles courantes ?

Étant donné que la technologie est encore en évolution, les attaques par prêts flash DeFi sont actuellement courantes. Actuellement, plus de 70 failles de sécurité dans la finance décentralisée (DeFi) ont été utilisées pour voler des sommes considérables, à hauteur d'environ1,5 milliard de dollars. Cette tendance devrait se poursuivre dans les années à venir, car rendre la sécurité d'une plateforme impénétrable est une tâche complexe.

Le premier défi tient à l'incapacité du développeur à couvrir toutes les faiblesses possibles, la technologie blockchain étant relativement nouvelle. Un autre problème réside dans la rapidité avec laquelle ces systèmes sont développés, et dans les sommes considérables investies dans chacun de ces projets. L'enjeu est de taille, et de nombreux développeurs essaient différentes méthodes pour trouver les bugs du système. Certains auteurs d'attaques liées aux prêts éclair exploitent des calculs erronés des réserves de liquidités. D'autres encore sont des attaques de mineurs ou des erreurs de programmation.

Malheureusement, ce qui rend tout possible est aussi ce qui nous fragilise. 

Le problème avec les contrats intelligents, c'est qu'ils exercent un contrôle total sur les protocoles DeFi. Une fois que les attaquants comprennent en détail comment ces mécanismes fonctionnent, ils peuvent exploiter les failles d'un contrat et les utiliser à leur avantage.

Cela signifie que la sécurité de la DeFi repose sur un équilibre délicat : d'un côté, le savoir-faire du créateur du contrat du protocole, et de l'autre, celui du pirate informatique.

Une autre vulnérabilité réside dans les données tarifaires de la plateforme. Étant donné la multitude de plateformes d'échange existantes dans le monde, il est pratiquement impossible de trouver un prix unique et exact pour les cryptomonnaies. C’est cette différence de prix qui rend l’arbitrage attractif. Suivre les marchés est un excellent moyen de réaliser des profits, grâce aux fluctuations légitimes des prix. Cependant, les attaques par prêts éclair manipulent les prix et exploitent leurs fluctuations soudaines. 

Lorsque l'attaquant obtient le prêt éclair, il provoque une vente massive artificielle, entraînant une chute brutale du prix d'un actif crypto.

Heureusement, des systèmes existent déjà pour empêcher de tels abus de prêts non garantis. Nous aborderons ce point juste après avoir examiné quelques exemples d'attaques par prêts éclair.

Exemples d'attaques par prêts éclair

À ce jour, on a recensé des dizaines de cas d'attaques de prêts éclair. Voici quelques-uns des plus importants.

Cream Finance

CREAM Finance a été la cible de plusieurs attaques en 2021. L'un des plus gros braquages ​​a impliqué130 millions de dollars. Les coupables ont dérobé des jetons de liquidité CREAM, pour un montant de plusieurs millions de dollars, sur une période non divulguée. Toutes les pertes sont visiblessur la chaîne, et les coupables n'ont pas encore été appréhendés.

Heureusement, cette faille ne concernait qu'une partie du système DeFi de Cream, car la plateforme de leur partenaire de fusion, Yearn Finance, est restée intacte. Comme pour la majorité des piratages de protocoles DeFi, les attaquants ont utilisé de multiples prêts flash et manipulé le prix de l'oracle.

Grâce à l'aide de l'équipe de Yearn, la plateforme a rapidement corrigé la faille de sécurité.

Alpha Homora

En février 2021, un piratage du protocole Alpha Homora a entraîné une perte de37 millions de dollars. L'auteur de l'attaque par prêts éclair a également utilisé Iron Bank de CREAM Finance à travers une série de prêts éclair. La Banque de Fer est la branche de prêt du protocole Alpha Homora. 

Les pirates ont répété le processus plusieurs fois jusqu'à ce qu'ils aient amassé des CreamY USD (ou cyUSD), puis ont utilisé les jetons pour emprunter d'autres cryptomonnaies. Le piratage était assez complexe et impliquait de nombreuses étapes. En substance, l'attaquant a fortement manipulé le pool sUSD de HomoraBank v2.

Ils ont effectué une série de transactions et de prêts éclair, ce qui leur a permis d'abuser du protocole de prêt entre HomoraBank v2 et Iron Bank. Vous pouvez explorer plus en détail l'analyse post-mortem de l'attaque Alpha Homorapour voir ce que les pirates informatiques ont fait.

De plus, ils ont exploité l'erreur d'arrondi dans les calculs d'emprunt dans les situations où il n'y a qu'un seul emprunteur. 

dYdX

Il existe des cas où la manipulation des protocoles exige un timing précis et une manipulation des prix. Ce fut le cas avec une faille de sécurité dYdX au début de l'année 2020. L'attaquant a utilisé la plateforme pour obtenir le prêt éclair, puis a divisé les fonds et les a utilisés sur deux plateformes de trading : Fulcrum et Compound.

La première partie a été utilisée sur Fulcrum pour un échange d'ETH contre du WBTC. Dans ce processus, le réseau Kyber a reçu la commande viale DEXd'Uniswap. Le hic, c'est que la faibleliquidité du poold'Uniswap a fait grimper le prix du WBTC à un niveau incroyablement élevé.

Simultanément, l'attaquant a utilisé la deuxième partie du prêt sur la plateforme Compound pour obtenir un prêt flash en WBTC. Alors que le prix montait en flèche sur Uniswap, l'attaquant a rapidement effectué l'échange, empochant ainsi un profit illégal considérable.

PancakeBunny

En mai 2021, un pirate informatique a mis la plateforme PancakeBunny à l'épreuve en volant près de3 millions de dollars. Le pirate informatique a d'abord utilisé PancakeSwap pour obtenir un important prêt en BNB. Lors de l'attaque, le pirate a manipulé les paires de trading BUNNY/BNB et USDT/BNB.

Après cela, un important prêt éclair a fourni au pirate une énorme quantité de jetons BUNNY, qu'il a immédiatement revendus, remboursant les BNB et disparaissant avec les profits. Toute cette histoire a entraîné une chute spectaculaire du prix de PancakeBunny, qui est passé de 146 $ à 6,17 $.

Comment puis-je me prémunir contre une attaque par prêt éclair ?

Face à la multiplication des attaques, les experts en sécurité en apprennent davantage sur les différentes failles de sécurité liées aux prêts express. Toutes les vulnérabilités des exemples mentionnés ci-dessus ont été corrigées, et leur apparition a donné naissance à deux solutions populaires.

Oracles de tarification décentralisés

La plupart des attaques par prêts éclair reposant sur la manipulation des prix, il est nécessaire de contrer cette approche par des oracles de prix décentralisés. ChainlinketBand Protocolen sont de bons exemples. Ces plateformes sécurisent tous les protocoles en affichant les prix précis des différentes cryptomonnaies.

Par exemple, les attaques DeFi comme celle qui est arrivée à dYdX ne seront plus possibles car les protocoles ne recevront plus leurs données de prix d'un seulDEX.

Alpha Homora utilise désormais Alpha Oracle Aggregator pour éviter que l'histoire ne se répète. Nous verrons apparaître davantage de systèmes de ce type à mesure que lemarché de la DeFi continuera de croître.

Mise en œuvre des plateformes de sécurité DeFi

L'écosystème DeFi utilise des technologies de pointe qui redessinent le paysage des systèmes financiers internationaux. Ce genre d'attention fait peser une lourde charge sur l'ensemble du système.

La bonne nouvelle, c'est qu'il existe déjà des plateformes spécifiques qui répondent aux défis de sécurité actuels.OpenZeppelinen est le parfait exemple. Son rôle dans l'écosystème global est de protéger les contrats intelligents et les plateformes DeFi dans leur ensemble.

Outre leurs capacités d'audit des contrats intelligents, des solutions telles queDefender Sentinelsoffrent une protection continue contre les attaques par prêts éclair. Les développeurs peuvent utiliser cet outil pour automatiser leurs stratégies de défense, en suspendant rapidement des systèmes entiers et en déployant des correctifs.

Ce type de réaction rapide est essentiel pour atténuer les dommages potentiels qu'une attaque par prêt éclair peut engendrer.

De grands acteurs tels que Yearn.finance, Foundation Labs, dYdX, Opyn, The Graph, PoolTogether et bien d'autres utilisent déjà la plateforme pour neutraliser les attaques visant leurs systèmes.

Les prêts express sont-ils sans risque ?

Lorsque tout se déroule comme prévu, les prêts express sont totalement sans risque. L'emprunteur et le prêteur peuvent tirer profit de la transaction s'ils remplissent toutes les conditions du contrat intelligent.

Du point de vue du prêteur, ils ne donnent jamais d'argent gratuitement. Tout cela est artificiel et devient une partie des informations de la blockchain si l'emprunteur effectue toutes les démarches nécessaires. Si l'emprunteur fait défaut, la même transaction est tout simplement rejetée.

Le prêteur détient toujours ses fonds, et l'emprunteur ne doit d'argent à personne.

En revanche, l'emprunteur ne peut que réaliser un profit. Ils peuvent utiliser les fonds empruntés pour réaliser un profit grâce à un arbitrage sur le marché des cryptomonnaies. Si la transaction échoue, l'argent retourne simplement au prêteur.

Dans l'idéal, la conception du système garantit des emprunts et des prêts instantanés et sans risque. Toutefois, pour garantir l'absence de risques, les contrats intelligents doivent couvrir tous les détails de la transaction. De cette façon, il n'y a aucune faille que les attaquants pourraient exploiter.

Par conséquent, en ce qui concerne les prêts flash, les plus grands risques qui affectent actuellement l'écosystème DeFi sont les fuites de données, ainsi que les bugs des contrats intelligents qui permettent ces attaques.

Même si la situation n'est pas idéale actuellement, avec le temps, ces systèmes finiront par être sécurisés. Avec des plateformes comme Chainlink et OpenZeppelin, les attaques par prêts flash deviendront probablement une chose du passé.

Conclusion

Les prêts flash constituent un autre excellent ajout à l'écosystème DeFi. Bien qu'ils soient actuellement vulnérables aux attaques, la situation va s'inverser à l'avenir. 

À mesure que les développeurs écrivent de meilleurs contrats intelligents et que davantage de systèmes déploient des outils de sécurité et des oracles décentralisés pour la tarification, nous constaterons une diminution du nombre d'attaques de pirates informatiques.

Si vous vous demandez si les prêts express constituent un bon investissement, nous pensons que la réponse est oui. N'oubliez pas qu'il existe toujours, même à faible risque, un risque d'attaque par prêt éclair ; utilisez donc vos cryptomonnaies avec précaution lorsque vous les prêtez sur les plateformes DeFi.

Envie d'en savoir plus sur les prêts DeFi ? Vous trouverez tous les détails dans unguide completsur notre blog.



Recevez votre dose quotidienne d'informations sur les crypto et le trading.

Pas de spams. Seulement du contenu agréable et des mises à jour de l'industrie dans l'espace crypto.

    roadmap