La sécurité redevient une préoccupation, à mesure que les protocoles DeFi et les projets Web3 ont augmenté leur liquidité. Les systèmes décentralisés plus complexes ouvrent de nouvelles possibilités d'attaques et d'exploits.
Plusieurs protocoles de haut niveau financeront des recherches et des événements sur la sécurité Web3, qui affectent également les protocoles DeFi. Parmi eux se trouve MakerDAO, avec un investissement direct dans SherlockDeFi, une société spécialisée dans la sécurité des protocoles décentralisés.
Lisez aussi : CertiK explique sa position éthique en matière de piratage informatique, Kraken admet le remboursement intégral des fonds
Dans le cas de Sherlock, l'organisation propose plusieurs défis ciblés pour l'utilisation et l'audit de DEX ou d'autres applications. Le défi MakerDAO est le plus important à ce jour, avec une prime 10 fois supérieure à celle habituelle de SherlockDeFi.
Sherlock a travaillé avec des experts reconnus en sécurité Web3 et a clôturé jusqu'à présent 167 événements d'audit. Les audits de Sherlock affirment avoir évité 383 bogues critiques, détectés avant le lancement du réseau principal pour plusieurs projets.
Cela s’annonce comme un été de sécurité Web3.
– @CodeHawks organise un nouveau concours chaque semaine en juillet – @MakerDAO 1,35 million de dollars sur @sherlockdefi – @immunefi organise un marathon d'attaque d'un million de dollars
– funk-or-naut (@funkornaut) 27 juin 2024
Les exploits s'accélèrent, menant à l'été de la sécurité Web3
Rien qu'en juin, le monde de la cryptographie a été témoin de deux exploits très médiatisés : UwU Lend, qui a perdu 20 millions de dollars grâce à un contrat intelligent, et le piratage éthique de Kraken de 3 millions de dollars par Certik. La bourse Velocore a également perdu 6,8 millions de dollars en attaques contre ses pools ZKSync et Linea. En juin, ImmuneFi a enregistré 12 incidents, qui ont rapporté jusqu'à 78 millions de dollars.
Lisez aussi : Kraken récupère 3 millions de dollars alors que les critiques se multiplient contre CertiK
Selon ImmuneFi, le deuxième trimestre est arrivé avec 509 millions de dollars d'exploits, soit une augmentation de 91 % par rapport à la même période de 2023. Les exploits et les piratages ont ralenti pendant les marchés baissiers, mais ont immédiatement augmenté à mesure que DeFi augmentait ses avoirs. En 2024, le nombre de piratages a été moindre, mais plus soigneusement ciblé sur des protocoles spécifiques et leurs faiblesses.
DeFi est devenu de plus en plus complexe et s'est étendu à plusieurs chaînes L2. Les ponts, les contrats intelligents et les actifs enveloppés ouvrent la porte aux exploits. L'autre grande source de vol sont les attaques MEV, ou attaques sandwich, qui visent à mettre en avant les traders DEX.
ZachXBT, un chercheur de haut niveau sur les exploits de la blockchain, a récemment révélé un attaquant MEV.
En guise de mise à jour, je suis heureux de vous annoncer que Robert Robb, alias @pokerbrat2019, vient de plaider coupable vendredi pour son stratagème de fraude à l'investissement dans les robots MEV et risque désormais jusqu'à 20 ans de prison.
En décembre 2023, j'ai publié un article détaillant plus de 11 investisseurs qui ont été victimes et j'ai révélé son… https://t.co/1Sdj7B2pUJ pic.twitter.com/zHYc4jzPBa
– ZachXBT (@zachxbt) 24 juin 2024
Solana et Jito DAO visent également à ralentir l'activité MEV et à permettre aux commerçants de détail de passer des commandes qui ne seront pas attaquées.
L'autre grande classe d'attaques et d'exploits contre les utilisateurs du Web3 comprend les tentatives de drainer les portefeuilles individuels. Les fonds des portefeuilles peuvent être récupérés en injectant de fausses adresses, des contrats intelligents malveillants ou de faux liens d’achat NFT.
Les concours et les primes attirent les développeurs Web3
ImmuneFi propose également des défis à distance et en personne aux experts en sécurité. ImmuneFi a lancé un appel aux développeurs pour un événement en direct à Bruxelles, lors d'un événement général sur la sécurité DeFi. ImmuneFi s'est imposé comme l'une des plateformes incontournables pour les nouvelles opportunités payantes et le piratage éthique.
Le lancement de plusieurs nouveaux protocoles Web3 et DeFi a aidé ImmuneFi à attirer davantage de pirates éthiques. En juin, l’agrégateur a franchi une étape importante en versant 100 millions de dollars aux chasseurs de bogues.
Lisez aussi : Les piratages et escroqueries cryptographiques ont doublé au deuxième trimestre 2024 : rapport
ImmuneFi a mis en place une prime pouvant aller jusqu'à 5 000 $, disponible lors du défi du 8 juillet à Bruxelles. ImmuneFi regroupe également constamment des opportunités de primes et de tests pour les experts en sécurité. La plateforme offre des primes à toutes les échelles, couvrant à la fois les contrats intelligents de niche et les grands protocoles.
L’une des plus grosses primes de l’espace DeFi est celle de Morpho, un agrégateur de pools de prêts. Morpho vise à protéger 1,85 milliard de dollars de valeur verrouillée, atteignant récemment un niveau record. Pour cette raison, Morpho a étendu son coffre-fort de bug bounty à 2,5 millions de dollars. Morpho a lancé un appel direct pour tester certains contrats intelligents qui constituent l'épine dorsale de son activité.
Les nouvelles primes maximales pour les contrats intelligents de Morpho :
Morpho Blue : 2,5 M$Contrats périphériques Morpho Blue : 1,5 M$etaMorpho : 1,5 M$Morpho Optimizers = 555 000 $
Apprenez-en plus sur la prime sur @immunefi 👇https://t.co/YqWxwIzQea
– Morpho Labs 🦋 (@MorphoLabs) 27 juin 2024
Selon Certik, presque tous les protocoles Web3 comportent des risques encore non découverts. Les normes de Certik placent le portefeuille et l'écosystème Wemix comme les plus sûrs possibles dans Web3.
De plus, l’été 2024 a apporté une vague quasi constante de nouveaux jetons. Désormais, DEX, les portefeuilles et d’autres services tentent de créer des listes blanches et de signaler rapidement les jetons et les tirages de tapis potentiellement risqués.
L'événement Code Hawks débutera avec TempleDAO, à partir du 4 juillet. Chaque semaine de juillet, un nouveau concours s'ouvrira avec une prime pour une plateforme différente. L'audit TempleDAO disposera d'une cagnotte de 25 000 USDC pour les chasseurs de bogues réussis. Code Hawks vise à continuer à impliquer de grands protocoles, tout en créant un classement des meilleurs chasseurs de bogues.
Reportage cryptopolitain de Hristina Vasileva