L'incident de piratage de Dexx a choqué l'industrie web3, obligeant tout le domaine web3 et DeFi à faire face à un choc sans précédent. Cet événement a non seulement exposé les failles profondes de l'architecture technique des échanges décentralisés (DEX), mais a également déclenché une crise de confiance et une réflexion sur la finance décentralisée - les utilisateurs ayant subi de lourdes pertes, la réputation de l'industrie étant affectée, et certains commençant à douter de la possibilité de réaliser réellement la vision de sécurité, d'efficacité et d'équité financière prônée par DeFi.
Cependant, la crise est souvent une opportunité de renforcement de la compréhension et de changement. De la technologie à la gouvernance, de la théorie à la pratique, cet événement nous offre une chance de réexaminer DeFi. Nous allons partir de l'événement lui-même, en combinant l'analyse de l'événement, la recherche théorique et les prévisions sur les tendances technologiques futures, pour analyser en profondeur l'incident de piratage de Dexx, et explorer comment les produits et solutions de sécurité représentés par Hibit peuvent conduire DeFi vers une véritable maturité.
I. Rétrospective de l'incident de piratage de Dexx
1.1 Détails essentiels de l'incident Dexx
Selon les informations publiques, Dexx a subi des pertes allant jusqu'à 40 millions de dollars et ce chiffre continue d'augmenter, des milliers d'utilisateurs ayant subi des pertes - à 4 heures du matin le 16 novembre 2024, un avis officiel a été émis : des tokens d'utilisateurs ont été transférés, et plusieurs équipes d'audit professionnelles ont commencé à analyser le problème. À 18h40 ce jour-là, Dexx a publié un communiqué : 1. L'équipe a communiqué avec les forces de l'ordre de plusieurs régions ; 2. Espérant pouvoir communiquer avec les hackers ; 3. L'équipe Slow Mist a été contactée pour évaluer les fonds perdus par tous les utilisateurs ainsi que le flux d'argent des hackers ; 4. Des discussions sont en cours concernant des solutions pour les utilisateurs. Cependant, aucune solution complète n'a encore été obtenue. Après analyse de l'équipe Hibit, cette attaque a principalement exploité les types de vulnérabilités suivants :
(1) Vulnérabilités des contrats intelligents : attaques de réentrance
Les pirates ont extrait des fonds à plusieurs reprises grâce à la vulnérabilité de réentrance présente dans le contrat intelligent du pool de liquidité de Dexx. Les attaques de réentrance sont une vulnérabilité courante des contrats intelligents, permettant à l'attaquant de rappeler la fonction pour extraire des actifs avant que le contrat ne mette à jour son état interne. Ce problème provient souvent d'un manque de vérification (Formal Verification) et d'audit lors de la phase de développement du code.
(2) Le système de gestion des clés centralisé a été compromis
Bien que Dexx se présente comme une plateforme totalement décentralisée, la gestion des permissions des opérations clés (comme l'émission de jetons et les retraits) repose encore sur des serveurs centralisés, et les opérations de portefeuille Dexx sont en réalité des portefeuilles custodiaux, présentant des vulnérabilités de sécurité strictes. Ainsi, Dexx n'est pas un véritable DEX décentralisé, et c'est pourquoi ses problèmes de sécurité sont si cruciaux - ces serveurs deviennent les principales cibles d'attaques pour les hackers. Une fois les serveurs compromis, les attaquants obtiennent le contrôle des fonctions centrales de la plateforme et des clés privées des utilisateurs.
(3) Absence de mécanismes de vérification des transactions et de systèmes anti-blanchiment (AML)
Le mécanisme de vérification des transactions de Dexx n'a pas pu détecter rapidement les retraits anormaux de grande ampleur et les comportements de transaction fréquents. En raison de l'absence de surveillance en temps réel et d'outils d'analyse de données massives, la plateforme n'a pas pu empêcher rapidement la fuite de fonds lorsque les hackers ont commencé leur attaque. De plus, les hackers ont utilisé des technologies de renforcement de la confidentialité (comme des mélangeurs cryptographiques) pour transférer rapidement des fonds de la plateforme, exposant ainsi l'absence de systèmes anti-blanchiment et de capacités de traçage des transactions de Dexx.
1.2 Pertes des utilisateurs et impact sur le marché
Des milliers d'utilisateurs ont subi des pertes directes, perdant même tous leurs actifs d'investissement. Les répercussions de l'événement ont conduit à une chute brutale de la liquidité sur la plateforme Dexx, et la confiance dans l'ensemble du marché DeFi a été gravement touchée. Selon les statistiques de l'équipe Hibit, après cet événement, le volume moyen de transactions quotidien des DEX dans l'industrie a chuté de 15 %, et l'activité des utilisateurs concernés a également diminué de 20 %.
Cette série de conséquences indique que les problèmes de sécurité ne sont pas seulement des défis techniques, mais aussi la ligne de fond de la confiance des utilisateurs. Une seule vulnérabilité de sécurité peut faire effondrer instantanément des années de confiance accumulée par une plateforme.
II. Analyse théorique : essence et risques de la finance décentralisée
2.1 Base théorique de l'économie décentralisée
(1) Économie des coûts de transaction : paradoxe d'efficacité décentralisée
L'une des bases théoriques de la finance décentralisée (DeFi) est l'économie des coûts de transaction (Transaction Cost Economics, Coase, 1937). Coase a proposé qu'en réduisant les intermédiaires, les coûts de transaction peuvent être significativement réduits. Cependant, dans la pratique de DeFi, nous observons un "paradoxe d'efficacité" : bien que les intermédiaires aient été éliminés, de nouveaux risques et coûts ont émergé.
Par exemple, l'incident de piratage de Dexx a exposé les vulnérabilités des contrats intelligents, ce risque technologique devenant un nouveau coût de transaction. Les utilisateurs des plateformes DeFi doivent faire face à l'incertitude causée par des attaques de piratage, des erreurs de contrat intelligent et des défaillances de gouvernance de la plateforme. Selon une étude de 2023 (Xu et al., Journal of Blockchain Research), le coût de risque moyen des transactions DeFi est 30 % à 50 % plus élevé que dans la finance traditionnelle, directement lié à la complexité des contrats intelligents et à la vulnérabilité des architectures décentralisées.
(2) Déséquilibre entre retour sur capital et transfert de risque
Du point de vue de la théorie moderne du portefeuille (Modern Portfolio Theory, Markowitz, 1952), l'état idéal de la finance décentralisée est d'améliorer l'efficacité de l'allocation de fonds grâce à la décentralisation et aux transactions sans intermédiaire. Cependant, l'incident de piratage de Dexx a révélé un problème de déséquilibre entre le retour sur capital et la distribution des risques. Étant donné que les plateformes DeFi dépendent souvent des fournisseurs de liquidité (LPs) pour soutenir les pools de fonds, une fois la plateforme attaquée, les pertes se concentrent sur les utilisateurs ordinaires, plutôt que sur la plateforme ou le fournisseur de technologie. De plus, une étude de 2024 (Zhang et al., DeFi Risk Assessment) a montré que les pertes des utilisateurs sur les plateformes DeFi représentent plus de 80 % des pertes totales dues aux attaques de piratage, alors que ce phénomène est relativement faible dans le système financier traditionnel. Ce mécanisme de transfert de risque pose un défi majeur à la logique de diversification des risques des plateformes DeFi.
2.2 Analyse de l'architecture informatique et de sécurité
(1) Vulnérabilités des contrats intelligents : théorie et pratique
Les contrats intelligents sont au cœur de DeFi, mais la vulnérabilité de leur conception de code entraîne des événements de sécurité fréquents. En 2024, une étude publiée par Liu et al. dans ACM Computing Surveys a résumé les types courants de vulnérabilités des contrats intelligents, en particulier les attaques de réentrance (comme celle subie par Dexx). L'étude a indiqué que plus de 45 % des événements de sécurité DeFi sont dus à des vulnérabilités de code des contrats intelligents, principalement en raison du manque d'outils de vérification formelle et de mécanismes de surveillance dynamique dans les équipes de développement.
- Vérification formelle : en vérifiant par des modèles mathématiques si les contrats intelligents respectent les spécifications données, cela peut réduire considérablement les défauts de code. Luu et al. (2016) dans l'avenir d'Ethereum ont souligné que la vérification formelle est essentielle pour la sécurité des contrats intelligents complexes. Cependant, actuellement, moins de 20 % des plateformes DeFi utilisent cette technologie, entraînant une dépendance à l'audit de code traditionnel qui ne peut pas faire face à des attaques de haute complexité.
- Mécanismes de défense dynamique : par exemple, les verrous temporels (Timelocks) et les limites de transaction (Transaction Caps) sont des moyens efficaces pour faire face à des transactions anormales de grande ampleur. Mais dans Dexx, ces mécanismes sont totalement absents, permettant aux attaquants d'extraire rapidement de grandes quantités de fonds en peu de temps.
(2) Décentralisation et innovation de la gestion des clés
La gestion centralisée des clés de Dexx est la vulnérabilité centrale de cet incident. En revanche, des solutions comme la cryptographie à seuil offrent des solutions plus sécurisées pour la gestion des clés décentralisée : cette méthode permet de diviser la clé en plusieurs parties, détenues par plusieurs nœuds qui valident collaborativement. Même si un nœud est compromis, la clé reste sécurisée. En 2023, une étude conjointe d'IBM et de Hyperledger a montré que les systèmes décentralisés utilisant la cryptographie à seuil réduisent le risque de défaillance unique de plus de 70 %.
(3) Technologies de vérification d'identité anti-phishing et d'ingénierie sociale
Bien que les défenses techniques en matière de sécurité soient constamment mises à jour, les attaques d'ingénierie sociale demeurent l'une des principales menaces pour DeFi. Des recherches montrent qu'environ 40 % des événements de piratage impliquent des attaques de phishing. Les technologies de vérification d'identité anti-phishing telles que la norme FIDO2 et l'IA d'analyse comportementale peuvent réduire considérablement le risque pour les utilisateurs causé par des erreurs humaines. Par exemple, FIDO2 offre une expérience d'authentification multi-facteurs sans mot de passe grâce à des technologies biométriques et des clés d'authentification matérielles. En 2024, Cryptocom a intégré entièrement la norme FIDO2 dans son portefeuille, réduisant de 65 % les incidents de vol de compte.
2.3 Théorie de la gouvernance et mécanismes de confiance des plateformes DeFi
(1) Gouvernance dynamique et autonomie décentralisée
L'événement Dexx reflète des défauts graves au niveau de la gouvernance. Bien que se présentant comme décentralisé, le mécanisme de décision réel de la plateforme est hautement centralisé, n'ayant pas réussi à répondre rapidement lors de l'éclatement de l'événement. Ce phénomène de "pseudo-décentralisation" n'est pas rare dans l'industrie DeFi. Les DAO offrent une solution puissante. Grâce à des décisions par vote des détenteurs de jetons, les DAO améliorent non seulement la transparence, mais créent aussi un espace pour la participation des utilisateurs à la gouvernance de la plateforme. Par exemple, le modèle de gouvernance adopté par MakerDAO a réussi à éviter plusieurs risques majeurs, prouvant la faisabilité de la gouvernance décentralisée.
(2) La numérisation de la confiance et l'interprétation économique
La confiance est la pierre angulaire de DeFi. D'un point de vue économique, la confiance est un "actif intangible", mais sa valeur peut être rendue explicite par la conception des mécanismes. Dans les plateformes DeFi, la confiance dépend généralement de la synergie entre la technologie (comme les contrats intelligents) et la gouvernance (comme DAO). Cependant, la défaillance de gouvernance de Dexx a conduit à une double destruction de la confiance des utilisateurs envers la technologie et la plateforme. Une étude sur la confiance dans les écosystèmes blockchain a montré que la transparence et la sécurité sont les deux piliers pour établir la confiance dans les plateformes DeFi. Lorsque la plateforme offre des audits en temps réel, du code source ouvert et des fonctionnalités de gouvernance dynamique, le niveau de confiance des utilisateurs est supérieur de 35 % à 50 % à celui des plateformes qui manquent de ces fonctionnalités.
III. Solutions représentées par Hibit : double garantie technique et de gouvernance
3.1 Innovations clés de Hibit
(1) Sécurité et évolutivité de Layer-2
Hibit a construit une infrastructure Layer-2 de plus de 100 000 lignes de code, spécifiquement conçue pour améliorer la sécurité et l'évolutivité. Ses contrats intelligents ont été soumis à une vérification formelle rigoureuse et intègrent des mécanismes de défense dynamique (comme des verrous temporels et des limites de transaction), empêchant efficacement des vulnérabilités similaires aux attaques de réentrance.
(2) Portefeuilles non custodiaux et identité décentralisée
Hibit propose un portefeuille non custodial (Hibit ID), éliminant les risques de défaillance unique et de fuite de clés privées. De plus, la plateforme garantit la sécurité des identités et des actifs des utilisateurs grâce à la technologie d'identité décentralisée (DID).
(3) Plan de compensation pour les utilisateurs victimes
Dans le traitement post-événement de Dexx, Hibit a activement lancé un plan de compensation par airdrop pour les utilisateurs victimes. Cela a non seulement aidé les utilisateurs à compenser leurs pertes, mais a également trouvé un véritable standard technique pour reconstruire la confiance dans l'industrie.
(4) Système de surveillance AI en temps réel intégré
Hibit garantit la transparence et la conformité des flux de fonds grâce à une surveillance des transactions en temps réel et à des outils AI renforçant la confidentialité, tout en respectant les droits de vie privée des utilisateurs.
IV. Perspectives d'avenir :
4.1 L'art de l'équilibre entre décentralisation et sécurité
L'avenir de la finance décentralisée repose sur la manière d'équilibrer la décentralisation et la sécurité. D'une part, la décentralisation est la valeur fondamentale de DeFi, car elle améliore la transparence et l'efficacité en supprimant les intermédiaires traditionnels ; d'autre part, une décentralisation complète signifie souvent un manque de mécanisme de coordination central, ce qui peut entraîner une complexité technique accrue et une défaillance de la gouvernance. Cette contradiction crée dans l'application pratique un "paradoxe de la décentralisation" : une décentralisation excessive : la plateforme dépend entièrement des décisions communautaires et de l'autonomie, ce qui ralentit la réactivité et rend difficile la réparation rapide des vulnérabilités face aux attaques. Une centralisation excessive : la plateforme introduit des composants centralisés pour simplifier les processus techniques et de gestion, perdant ainsi l'essence de la décentralisation et augmentant le risque de défaillance unique. À l'avenir, les plateformes DeFi nécessitent une stratégie de "décentralisation progressive", c'est-à-dire trouver le meilleur point d'équilibre entre technologie et gouvernance par l'innovation collaborative.
(1) Avancement de la vérification distribuée
Le mécanisme de vérification distribué est une voie technique efficace qui réduit la probabilité de défaillance unique en répartissant la vérification des transactions sur plusieurs nœuds ou membres du réseau. Par exemple, les ponts inter-chaînes traditionnels peuvent introduire le mécanisme de cryptographie à seuil, garantissant qu'aucun nœud individuel ne peut contrôler l'ensemble du processus de vérification, permettant ainsi de réaliser la fonction de signature à seuil la plus sécurisée pour les solutions inter-chaînes.
(2) Introduction de l'assurance des contrats intelligents
L'assurance des contrats intelligents est un outil financier défensif contre les vulnérabilités des contrats intelligents et les attaques externes. La plateforme peut introduire un mécanisme d'assurance décentralisé similaire à Nexus Mutual pour protéger les fonds des utilisateurs. Ce type d'assurance réalise une protection des fonds des utilisateurs tout en renforçant la stabilité du système grâce à des réserves distribuées et à l'assurance on-chain.
(3) Conception de modèles de gouvernance dynamique
L'innovation des modèles de gouvernance est essentielle pour équilibrer décentralisation et sécurité. La gouvernance dynamique est une méthode de gouvernance ajustable : lorsque le système est en état normal, la plateforme utilise un modèle d'organisation autonome décentralisée (DAO) pour une prise de décision transparente ; en cas d'événements imprévus, le système déclenche un mécanisme d'urgence qui concentre temporairement les pouvoirs entre des nœuds de confiance, permettant une réponse rapide à la crise. Ce mécanisme à double voie améliore non seulement la flexibilité de la plateforme, mais renforce également la sécurité sans compromettre la valeur de décentralisation.
4.2 Gestion des risques et confiance des utilisateurs
L'incident de Dexx met en lumière la vulnérabilité de la confiance des utilisateurs dans DeFi. La confiance est la pierre angulaire de la finance décentralisée, mais c'est aussi la partie la plus facile à endommager. Une fois que les actifs des utilisateurs subissent des pertes, le coût de reconstruction de la confiance est bien supérieur à l'investissement requis pour établir une confiance initiale. Ainsi, les futures plateformes DeFi doivent élever la gestion des risques et la protection des utilisateurs au cœur de leur stratégie, et optimiser les trois niveaux : technique, gouvernance et écosystème.
(1) Innovation technologique : réduction des risques systémiques
La technologie est la première ligne de défense pour la gestion des risques, et constitue le véritable noyau de sécurité ancré dans le produit. Voici les directions de recherche que l'industrie doit développer en priorité, et dans lesquelles Hibit a effectué des recherches approfondies :
- Vérification formelle des contrats intelligents
Selon les données du Blockchain Research Institute, en 2024, plus de 70 % des vulnérabilités DeFi dans le monde peuvent être évitées grâce à des outils de vérification formelle. Cependant, le taux de pénétration actuel n'est que de 25 %. À l'avenir, la popularisation et l'amélioration des outils de vérification formelle seront des tâches importantes pour les plateformes DeFi.
- Cryptographie à seuil
La gestion centralisée des clés de Dexx est l'une des sources de ses vulnérabilités. En adoptant un mécanisme de gestion des clés décentralisé, la plateforme peut réduire considérablement le risque d'attaques ciblées et réaliser des transactions inter-chaînes de la manière la plus sécurisée.
- Système d'alerte sur les risques en chaîne
En combinant des technologies d'analyse AI et blockchain, établir un système de surveillance des risques en temps réel sur la chaîne. Par exemple, l'outil Chainalysis KYT (Know Your Transaction) lancé en 2023 peut détecter en temps réel des transactions anormales, fournissant un préavis de 90 % des risques potentiels à la plateforme. L'équipe Hibit a également effectué des recherches et des mises à niveau supplémentaires sur la base de ces outils.
(2) Innovation de gouvernance : établir un écosystème de confiance
L'essor des DAO apporte un potentiel énorme pour la gouvernance des plateformes DeFi, mais leur pratique actuelle souffre d'une inefficacité et d'une dispersion du pouvoir. En optimisant la structure de gouvernance des DAO, il est possible d'améliorer la capacité de la plateforme à maintenir la confiance des utilisateurs :
- Gouvernance multi-niveaux : diviser les utilisateurs, les développeurs et les investisseurs institutionnels en différentes couches de gouvernance, en donnant à chaque groupe un poids de vote différent. Ce design améliore non seulement l'efficacité de la gouvernance, mais permet également de mieux prendre en compte les intérêts de chaque partie.
- Outils de transparence pour la gouvernance décentralisée : par exemple, des outils comme Snapshot peuvent fournir une transparence des votes, permettant aux utilisateurs de voir clairement le degré de participation et de soutien à chaque décision, garantissant ainsi une véritable décentralisation.
(3) Mécanismes de protection des utilisateurs : renforcer la base de confiance
L'amélioration des mécanismes de protection des utilisateurs est essentielle pour reconstruire la confiance. Voici quelques mesures viables :
- Assurance on-chain et réserves de capital
Les mécanismes d'assurance on-chain décentralisés (comme InsurAce) peuvent fournir une compensation aux utilisateurs en cas de piratage ou de vulnérabilité de contrat intelligent. En même temps, la plateforme doit établir un mécanisme de réserve de capital suffisant pour faire face à des risques systémiques potentiels.
- Fonds de compensation pour les victimes
Pour des événements majeurs, tels que l'attaque de piratage de Dexx, la plateforme peut établir un fonds de compensation spécial pour protéger les intérêts des utilisateurs. Semblable au plan de compensation intégral lancé par Hibit, cette initiative protège non seulement la confiance des utilisateurs, mais démontre également le sens des responsabilités sociales de la plateforme.
Conclusion :
Bien que l'incident de piratage de Dexx ait été une catastrophe, il a également éclairé la voie pour le développement futur de DeFi. De l'amélioration technologique à l'innovation de gouvernance, de la protection des utilisateurs à la réglementation de l'industrie, chaque avancée de DeFi nécessite une réflexion plus profonde et une pratique plus systématique. Et les plateformes représentées par Hibit mènent DeFi vers une nouvelle ère plus sécurisée et fiable grâce à des technologies avancées et une véritable décentralisation.
Si DeFi est une "révolution industrielle" dans le monde financier, alors l'événement Dexx est un accident de sécurité majeur et un appel à la vigilance. À l'avenir, nous avons besoin non seulement d'une véritable "décentralisation", mais aussi de technologies plus solides et de gouvernances plus intelligentes pour réaliser cet idéal. Puissent les builders de l'industrie construire avec nous cet idéal et cet avenir radieux.