L'incident de piratage de Dexx a été un tremblement de terre choquant pour l'industrie web3, entraînant un choc sans précédent dans l'ensemble du domaine web3 et DeFi. Cet événement a non seulement exposé les vulnérabilités profondes de l'architecture technologique des échanges décentralisés (DEX), mais a également suscité une crise de confiance et une réflexion sur la finance décentralisée - les utilisateurs ont subi de lourdes pertes, la réputation de l'industrie a été ternie, et certains ont même commencé à remettre en question si la vision de sécurité, d'efficacité et d'équité financière prônée par DeFi pouvait réellement être réalisée.

Cependant, les crises sont souvent aussi des occasions d'approfondir la compréhension et de provoquer des changements. De la technologie à la gouvernance, de la théorie à la pratique, cet incident nous offre une opportunité de réévaluer la DeFi. Nous analyserons l'incident lui-même, en combinant l'analyse de l'événement, la recherche théorique et les prévisions des tendances technologiques futures, pour examiner en profondeur l'incident de piratage de Dexx et explorer comment les produits et solutions de sécurité représentés par Hibit peuvent pousser la DeFi vers une véritable maturité.

I. Revue de l'incident de piratage de Dexx

1.1 Détails clés de l'incident Dexx

Selon des informations publiques, Dexx a subi des pertes allant jusqu'à 40 millions de dollars, et ce chiffre continue d'augmenter, des milliers d'utilisateurs ayant subi des pertes - Le 16 novembre 2024, à 4h du matin, l'official a émis un avertissement déclarant qu'il y avait eu des transferts non autorisés de tokens des utilisateurs, et plusieurs équipes d'audit professionnelles ont commencé à analyser et à enquêter. À 18h40 le même jour, DEXX a publié une déclaration : 1. L'équipe a communiqué avec les forces de l'ordre dans plusieurs régions pour ouvrir une enquête ; 2. Ils espèrent pouvoir communiquer avec les hackers ; 3. L'équipe SlowMist a été intégrée pour évaluer et enquêter sur tous les fonds des utilisateurs affectés, ainsi que sur le flux de fonds des hackers ; 4. Des discussions sont en cours concernant des solutions pour les utilisateurs. Jusqu'à présent, aucune solution complète n'a été obtenue. Après analyse de l'équipe Hibit, cette attaque a principalement exploité les types de vulnérabilités suivants :

(1) Vulnérabilités des contrats intelligents : Attaque par réentrance

Les hackers ont extrait des fonds à plusieurs reprises par le biais de la vulnérabilité de "réentrance" présente dans le contrat intelligent de la piscine de liquidité de Dexx. L'attaque par réentrance est une vulnérabilité courante des contrats intelligents ; lorsqu'un contrat permet des appels externes avant de mettre à jour son état interne, un attaquant peut appeler cette fonction de manière répétée pour retirer des actifs. Ce problème découle souvent d'un manque de vérification (Vérification Formelle) et d'audit durant la phase de développement du code.

(2) Système de gestion centralisée des clés compromis

Bien que Dexx prétende être une plateforme entièrement décentralisée, la gestion des autorisations de ses opérations clés (comme le minting et les retraits) dépend encore de serveurs centralisés, et la gestion de portefeuille réelle de Dexx est celle d'un portefeuille custodial, présentant des failles de sécurité strictes. Ainsi, Dexx n'est pas un véritable DEX décentralisé, et c'est pour cette raison que ses problèmes de sécurité sont si pressants - ces serveurs sont devenus les cibles principales des hackers. Une fois que les serveurs sont compromis, les attaquants obtiennent le contrôle des fonctionnalités essentielles de la plateforme et des clés privées des utilisateurs.

(3) Absence de mécanismes de vérification des transactions et de systèmes anti-blanchiment (AML)

Le mécanisme de vérification des transactions de Dexx n'a pas réussi à détecter rapidement des retraits anormaux de grande envergure et des comportements de transaction fréquents. En raison de l'absence de surveillance en temps réel et d'outils d'analyse de big data, la plateforme n'a pas pu empêcher rapidement la perte de fonds lorsque les hackers ont commencé leur action. De plus, les hackers ont utilisé des technologies améliorant la confidentialité (comme les mélangeurs cryptographiques) pour transférer rapidement des fonds hors de la plateforme, exposant ainsi les lacunes de Dexx en matière de systèmes anti-blanchiment et de capacité de suivi des transactions.

1.2 Pertes des utilisateurs et impact sur le marché

Des milliers d'utilisateurs ont directement subi des pertes, certains perdant même tous leurs actifs d'investissement. Les répercussions de l'événement ont entraîné une chute brutale de la liquidité de la plateforme Dexx, et la confiance dans l'ensemble du marché DeFi a été gravement affectée. Selon les statistiques de l'équipe Hibit, après cet incident, le volume moyen quotidien des transactions dans l'ensemble de l'industrie DEX a chuté de 15 %, et l'activité des utilisateurs concernés a également diminué de 20 %.

Cette série de conséquences indique que les problèmes de sécurité ne sont pas seulement des défis techniques, mais aussi des limites à la confiance des utilisateurs. Une vulnérabilité de sécurité peut faire s'effondrer en un instant la confiance accumulée pendant des années sur une plateforme.

II. Analyse théorique : La nature et les risques de la finance décentralisée

2.1 Fondements théoriques de l'économie décentralisée

(1) Économie des coûts de transaction : Le paradoxe de l'efficacité décentralisée

L'un des fondements théoriques de la finance décentralisée (DeFi) est l'économie des coûts de transaction (Transaction Cost Economics, Coase, 1937). Coase a proposé qu'en réduisant les intermédiaires, les coûts de transaction peuvent être significativement réduits. Cependant, dans la pratique de la DeFi, nous observons un "paradoxe d'efficacité" : bien que les intermédiaires aient été éliminés, de nouveaux risques et coûts ont émergé.

Par exemple, l'incident de piratage de Dexx a révélé des vulnérabilités dans les contrats intelligents, rendant ce risque technologique un nouveau coût de transaction. Les utilisateurs doivent faire face à l'incertitude causée par des attaques de hackers, des erreurs de contrats intelligents et des échecs de gouvernance des plateformes lors de l'utilisation des plateformes DeFi. Selon une étude de 2023 (Xu et al., Journal of Blockchain Research), le coût moyen du risque de transaction dans la DeFi est supérieur de 30 % à 50 % par rapport à la finance traditionnelle, ce qui est directement lié à la complexité des contrats intelligents et à la vulnérabilité de l'architecture décentralisée.

(2) Déséquilibre entre retour sur capital et transfert de risque

D'un point de vue de la théorie moderne des portefeuilles (Modern Portfolio Theory, Markowitz, 1952), l'état idéal de la finance décentralisée est d'améliorer l'efficacité de l'allocation des fonds par la décentralisation et les transactions sans intermédiaire. Cependant, l'incident de piratage de Dexx a révélé un problème de déséquilibre entre le retour sur capital et la répartition des risques. Étant donné que les plateformes DeFi dépendent souvent des fournisseurs de liquidités (LPs) pour soutenir les pools de fonds, une fois qu'une plateforme est attaquée, les pertes se concentrent sur les utilisateurs ordinaires, plutôt que sur la plateforme ou le fournisseur de technologie. De plus, une étude de 2024 (Zhang et al., DeFi Risk Assessment) a montré que dans les plateformes DeFi, les pertes des utilisateurs représentent plus de 80 % des pertes totales dues aux attaques de hackers, un phénomène relativement bas dans le système financier traditionnel. Ce mécanisme de transfert de risque pose des défis majeurs à la logique de répartition des risques des plateformes DeFi.

2.2 Analyse de l'architecture informatique et de la sécurité

(1) Vulnérabilités des contrats intelligents : Théorie et pratique

Les contrats intelligents sont au cœur de la DeFi, mais la vulnérabilité de leur conception de code entraîne des événements de sécurité fréquents. En 2024, une étude publiée par Liu et al. dans ACM Computing Surveys a résumé les types courants de vulnérabilités des contrats intelligents, en particulier les attaques par réentrance (comme celle subie par Dexx). L'étude a indiqué que plus de 45 % des incidents de sécurité DeFi sont attribués à des vulnérabilités de code des contrats intelligents, principalement dues à un manque d'outils de vérification formelle et de mécanismes de surveillance dynamique au sein des équipes de développement.

- Vérification formelle : En validant, par des modèles mathématiques, si les contrats intelligents respectent les spécifications fixées, on peut réduire considérablement les défauts de code. Luu et al. (2016) dans "L'avenir d'Ethereum" ont souligné que la vérification formelle est essentielle pour la sécurité des contrats intelligents complexes. Cependant, actuellement moins de 20 % des plateformes DeFi utilisent cette technologie, laissant de nombreuses plateformes dépendre encore d'audits de code traditionnels, incapables de faire face à des attaques de haute complexité.

- Mécanismes de défense dynamiques : Par exemple, les verrous temporels et les limites de transactions sont des moyens efficaces pour faire face aux transactions anormales de grande envergure. Mais dans Dexx, ces mécanismes sont complètement absents, permettant aux attaquants de retirer rapidement d'énormes sommes d'argent en peu de temps.

(2) Décentralisation et innovation de la gestion des clés

La gestion centralisée des clés de Dexx est la vulnérabilité centrale de cet incident. En revanche, la cryptographie à seuil (Threshold Cryptography) fournit des solutions plus sûres pour la gestion décentralisée des clés : cette méthode permet de diviser la clé en plusieurs parties, détenues par plusieurs nœuds qui valident de manière collaborative. Même si un nœud est compromis, la clé reste sécurisée. En 2023, une étude conjointe d'IBM et Hyperledger a révélé que les systèmes décentralisés utilisant la cryptographie à seuil réduisent le risque de défaillance unique de plus de 70 %.

(3) Technologies d'authentification anti-phishing et d'ingénierie sociale

Bien que les défenses techniques se soient continuellement améliorées, les attaques d'ingénierie sociale demeurent l'une des menaces principales pour la DeFi. Les études montrent qu'environ 40 % des incidents de hacking impliquent des attaques par phishing. Les technologies d'authentification anti-phishing, telles que les normes FIDO2 et l'AI d'analyse comportementale, peuvent réduire considérablement le risque d'erreur humaine. Par exemple, FIDO2 offre une expérience d'authentification multi-facteurs sans mot de passe grâce à la biométrie et aux clés d'authentification matérielle. En 2024, Crypto.com a intégré de manière exhaustive la norme FIDO2 dans son portefeuille, réduisant les incidents de vol de compte de 65 %.

2.3 Théorie de la gouvernance et mécanismes de confiance des plateformes DeFi

(1) Gouvernance dynamique et autonomie décentralisée

L'incident de Dexx reflète de graves défauts sur le plan de la gouvernance. Bien qu'il se présente comme décentralisé, le mécanisme de prise de décision réel de la plateforme est fortement concentré, n'ayant pas réussi à réagir rapidement lors de l'éclatement de l'incident. Ce phénomène de "pseudo-décentralisation" n'est pas rare dans l'industrie DeFi. Les DAO offrent une solution puissante à ce problème. Grâce à la prise de décision par vote des détenteurs de tokens, les DAO améliorent non seulement la transparence, mais créent également un espace pour la participation des utilisateurs à la gouvernance de la plateforme. Par exemple, le modèle de gouvernance utilisé par MakerDAO a réussi à éviter plusieurs risques majeurs, prouvant ainsi la viabilité de la gouvernance décentralisée.

(2) Digitalisation de la confiance et interprétation économique

La confiance est la pierre angulaire de la DeFi. D'un point de vue économique, la confiance est un "actif intangible", mais sa valeur peut être rendue explicite par la conception de mécanismes. Sur les plateformes DeFi, la confiance dépend généralement de la synergie entre la technologie (comme les contrats intelligents) et la gouvernance (comme les DAO). Cependant, l'échec de la gouvernance de Dexx a entraîné une double destruction de la confiance des utilisateurs envers la technologie et la plateforme. Une étude sur la confiance dans les écosystèmes blockchain a montré que la transparence et la sécurité sont les deux piliers de la construction de la confiance sur les plateformes DeFi. Lorsque la plateforme offre des audits en temps réel, un code source ouvert et des fonctionnalités de gouvernance dynamique, la confiance des utilisateurs est supérieure de 35 % à 50 % par rapport aux plateformes qui manquent de ces fonctionnalités.

III. Solutions représentées par Hibit : Double garantie technique et de gouvernance

3.1 Avantages clés de Hibit

(1) Sécurité et évolutivité de Layer-2

Hibit a construit plus de 100 000 lignes de code pour une infrastructure Layer-2 auto-construite, spécifiquement conçue pour améliorer la sécurité et l'évolutivité. Ses contrats intelligents ont été rigoureusement vérifiés formellement et intègrent des mécanismes de défense dynamique (comme les verrous temporels et les limites de transaction), empêchant efficacement des vulnérabilités telles que les attaques de réentrance.

(2) Portefeuilles non custodiaux et identité décentralisée

Hibit propose un portefeuille non custodial (Hibit ID), éliminant le risque de défaillance unique et de fuite de clés privées. De plus, la plateforme utilise des technologies d'identité décentralisée (DID) pour garantir la sécurité des identités et des actifs des utilisateurs.

(3) Plan de compensation pour les utilisateurs victimes

Dans le traitement des suites de l'incident de Dexx, nous, Hibit, avons activement lancé un programme de compensation par airdrop pour les utilisateurs victimes. Cela a non seulement aidé les utilisateurs à compenser leurs pertes, mais a également permis à l'ensemble de l'industrie de trouver un véritable étalon technique pour reconstruire la confiance dans le secteur.

(4) Intégration d'un système de surveillance AI en temps réel

Hibit assure la transparence et la conformité des flux de fonds grâce à des outils AI améliorant la confidentialité, tout en préservant les droits à la vie privée des utilisateurs.

IV. Perspectives d'avenir :

4.1 L'art de l'équilibre entre décentralisation et sécurité

L'avenir de la finance décentralisée repose sur la façon de gérer la tension naturelle entre décentralisation et sécurité. D'une part, la décentralisation est la valeur fondamentale de la DeFi, car elle améliore la transparence et l'efficacité en supprimant les intermédiaires traditionnels ; d'autre part, une décentralisation totale implique souvent un manque de mécanisme de coordination central, ce qui peut entraîner une complexité technique accrue et des échecs de gouvernance. Cette contradiction forme un "paradoxe de décentralisation" dans les applications pratiques : une décentralisation excessive : la plateforme dépend entièrement des décisions communautaires et de l'autonomie, ce qui entraîne une lenteur de réaction et des difficultés à corriger rapidement les vulnérabilités face à des attaques. Une centralisation excessive : la plateforme introduit des composants centralisés pour simplifier les processus techniques et de gestion, perdant ainsi l'essence de la décentralisation et augmentant le risque de défaillance unique. À l'avenir, les plateformes DeFi auront besoin d'une stratégie de "décentralisation progressive", c'est-à-dire de trouver le meilleur équilibre entre les deux grâce à l'innovation collaborative en technologie et en gouvernance.

(1) Avancement de la vérification distribuée

Le mécanisme de vérification distribué est une voie technique efficace qui réduit la possibilité de défaillance unique en attribuant la vérification des transactions à plusieurs nœuds ou membres du réseau. Par exemple, les ponts inter-chaînes traditionnels peuvent introduire des mécanismes de cryptographie à seuil, garantissant qu'aucun nœud unique ne peut contrôler l'ensemble du processus de vérification, permettant ainsi d'accomplir la fonction de signature à seuil la plus sécurisée.

(2) Introduction de l'assurance des contrats intelligents

L'assurance des contrats intelligents est un outil financier défensif contre les vulnérabilités des contrats intelligents et les attaques externes. La plateforme peut protéger les fonds des utilisateurs en introduisant un mécanisme d'assurance décentralisé similaire à Nexus Mutual. Ce type d'assurance est réalisé par des réserves distribuées et une assurance en chaîne, protégeant les fonds des utilisateurs tout en renforçant la stabilité du système.

(3) Conception de modèles de gouvernance dynamique

L'innovation dans les modèles de gouvernance est cruciale pour équilibrer décentralisation et sécurité. La gouvernance dynamique (Dynamic Governance) est un mode de gouvernance ajustable : lorsque le système est en état normal, la plateforme adopte un modèle d'organisation autonome décentralisée (DAO) pour la prise de décision transparente ; en cas d'événement imprévu, le système déclenche un mécanisme d'urgence qui concentre temporairement l'autorité sur des nœuds de confiance, permettant une réponse rapide à la crise. Ce mécanisme à double voie augmente non seulement la flexibilité de la plateforme, mais renforce également la sécurité sans perdre la valeur de la décentralisation.

4.2 Gestion des risques et confiance des utilisateurs

L'incident de Dexx met en évidence la vulnérabilité de la confiance des utilisateurs dans la DeFi. La confiance est la pierre angulaire de la finance décentralisée, mais c'est aussi la partie la plus facilement endommagée. Une fois que les actifs des utilisateurs subissent des pertes, le coût de la reconstruction de la confiance est bien supérieur à l'investissement nécessaire pour construire la confiance initiale. Par conséquent, les futures plateformes DeFi doivent élever la gestion des risques et la protection des utilisateurs à un cœur stratégique et optimiser les niveaux technique, de gouvernance et d'écosystème.

(1) Innovation technologique : Réduction du risque systémique

La technologie est la première ligne de défense pour gérer les risques et constitue le véritable noyau de sécurité ancré dans le produit. Voici les directions de recherche que l'industrie doit développer à l'avenir et que Hibit a approfondies :

- Vérification formelle des contrats intelligents

Selon les données de l'Institute for Blockchain Research, plus de 70 % des vulnérabilités DeFi dans le monde peuvent être évitées grâce à des outils de Vérification Formelle en 2024. Cependant, le taux de pénétration actuel n'est que de 25 %. À l'avenir, la diffusion et l'amélioration des outils de vérification formelle seront des tâches importantes pour les plateformes DeFi.

- Cryptographie à seuil

La gestion centralisée des clés de Dexx est l'une des sources de ses vulnérabilités. En adoptant un mécanisme de gestion des clés décentralisé, la plateforme peut réduire de manière significative le risque d'attaques ciblées par des hackers et réaliser la plus grande sécurité inter-chaînes.

- Système d'alerte des risques en chaîne

En combinant les technologies d'IA et d'analyse blockchain, établir un système de surveillance des risques en chaîne en temps réel. Par exemple, l'outil Chainalysis KYT (Know Your Transaction) lancé en 2023 peut détecter des transactions anormales en temps réel, fournissant à la plateforme une préalerte de 90 % des risques potentiels. De plus, l'équipe Hibit a effectué des recherches et des mises à niveau supplémentaires sur ces outils.

(2) Innovation en gouvernance : Établir un écosystème de confiance

L'émergence des DAO a apporté un grand potentiel pour la gouvernance des plateformes DeFi, mais leurs pratiques actuelles présentent des inconvénients d'inefficacité et de dispersion du pouvoir. En optimisant la structure de gouvernance des DAO, il est possible d'améliorer la capacité des plateformes à maintenir la confiance des utilisateurs :

- Gouvernance à plusieurs niveaux : Diviser les utilisateurs, les développeurs et les investisseurs institutionnels en différents niveaux de gouvernance, en leur attribuant à chacun des poids de vote différents. Ce design améliore non seulement l'efficacité de la gouvernance, mais prend également mieux en compte les intérêts de toutes les parties.

- Outils de transparence de la gouvernance décentralisée : Par exemple, des outils comme Snapshot peuvent fournir une transparence dans le vote, permettant aux utilisateurs de voir clairement le niveau de participation et de soutien pour chaque décision, garantissant ainsi une véritable décentralisation.

(3) Mécanismes de protection des utilisateurs : Renforcer la base de confiance

L'amélioration des mécanismes de protection des utilisateurs est essentielle pour reconstruire la confiance. Voici quelques mesures réalisables :

- Assurance en chaîne et réserves de capital

Un mécanisme d'assurance décentralisé en chaîne (comme InsurAce) peut compenser les utilisateurs en cas d'attaque de hacker ou de vulnérabilité dans les contrats intelligents. En même temps, la plateforme doit établir un mécanisme de réserves de capital suffisant pour faire face à de potentiels risques systémiques.

- Fonds de compensation pour les victimes

Pour des événements majeurs, comme l'attaque de Dexx, la plateforme peut établir un fonds de compensation dédié pour protéger les intérêts des utilisateurs. À l'instar du plan de compensation intégral lancé par Hibit, cette initiative permet non seulement de protéger efficacement la confiance des utilisateurs, mais aussi de démontrer le sens des responsabilités sociales de la plateforme.

Conclusion :

L'incident de piratage de Dexx, bien qu'il soit une catastrophe, a également ouvert la voie au développement futur de la DeFi. De l'amélioration technologique à l'innovation en gouvernance, de la protection des utilisateurs aux normes de l'industrie, chaque avancée de la DeFi doit être accompagnée d'une réflexion plus profonde et d'une pratique plus systématique. Les plateformes comme Hibit, qui se distinguent par leurs technologies avancées et leur véritable décentralisation, mènent la DeFi vers une nouvelle ère plus sûre et plus fiable.

Si la DeFi représente une "révolution industrielle" dans le monde financier, l'incident Dexx représente un accident de sécurité majeur et un avertissement. À l'avenir, nous avons besoin non seulement d'une véritable "décentralisation", mais aussi de technologies plus solides et d'une gouvernance plus intelligente pour réaliser cet idéal. Que les bâtisseurs de l'industrie et nous construisent ensemble cet idéal et cet avenir prometteur.

\u003ct-187/\u003e \u003ct-189/\u003e