DeFi continue de verser des millions de dollars aux pirates informatiques chaque mois, ce qui a incité un expert en sécurité à proposer une solution controversée au problème, à savoir la centralisation de certains aspects des protocoles décentralisés.
Nanak Nihal Khalsaco-fondateur de la startup de sécurité Web3 Holonymea déclaré qu’il comprenait que l’introduction d’une centralisation serait certainement controversée dans une industrie qui se targue d’être « incensable ». Mais il fait valoir qu’il est possible pour les protocoles DeFi d’atteindre un équilibre délicat qui empêche quiconque de bloquer les transactions quotidiennes tout en empêchant le vol de grandes quantités de fonds.
“Si nous voulons que les gens ordinaires utilisent la cryptographie, nous devons nous efforcer de concevoir et de mettre en œuvre des moyens d’empêcher les “transactions effrayantes”, et cela peut être fait en ajoutant la centralisation dans des endroits qui peuvent être centralisés”, a déclaré Khalsa.
Les commentaires de Khalsa sont intervenus en réaction à un rapport récent par la société de sécurité crypto Bouclierqui a révélé que les protocoles DeFi ont perdu 85,5 millions de dollars au profit des pirates informatiques en novembre, portant la perte annuelle de l’industrie à plus de 2,43 milliards de dollars jusqu’à présent en 2024.
Le mois dernier, Peckshield a enregistré plus de 30 attaques de piratage distinctes, les plus grands perdants étant Thala, qui a perdu 25,5 millions de dollars en fonds cryptographiques, et DEXX, qui a perdu 21 millions de dollars via un piratage de protocole.
Le rapport souligne à quel point les protocoles DeFi sont de plus en plus ciblés par les pirates informatiques, en raison de la prévalence persistante de vulnérabilités dans leur code sous-jacent et leurs contrats intelligents. Bien que les pertes de novembre aient été inférieures aux 102,42 millions de dollars volés en octobre, davantage d’argent a été volé sur les plateformes DeFi que le mois précédent.
Outre Thala et DEXX, des plateformes telles que Gifto, Polter Finance et Delta Prime ont également été victimes de piratages de plusieurs millions de dollars le mois dernier.
Khalsa affirme que ces derniers incidents donnent plus de poids à l’argument selon lequel l’industrie DeFi ne pourra jamais s’appuyer uniquement sur les audits de contrats intelligents, car il n’est tout simplement pas possible de découvrir toutes les vulnérabilités qui s’insinuent dans leur code.
« Les audits sont déjà quelque peu matures », a souligné Khalsa. « Je ne pense pas que nous allons assister à d’autres progrès considérables en termes d’audits de sécurité.
L’industrie du Web3 doit plutôt apprendre de ses homologues du Web2, qui souffrent comparativement de moins d’incidents de piratage en raison de la manière dont ses systèmes sont centralisés, a déclaré Khalsa. Il a déclaré que Web2 est devenu très efficace dans la prévention de la fraude, car il a mis au point divers systèmes et outils capables de détecter les pirates informatiques qui tentent de traiter une transaction malveillante et de les empêcher de retirer des fonds.
« C’est ce que font votre carte de crédit et votre banque, et c’est pourquoi la plupart des gens considèrent qu’elles sont sécurisées », affirme Khalsa. « Si les banques permettaient aux utilisateurs d’effectuer n’importe quelle transaction sans vérifier au préalable sa sécurité, je garantis que les piratages se produiraient dans ce secteur beaucoup plus fréquemment et pour des montants bien plus importants que ce que nous voyons actuellement. Les pertes dépasseraient de loin celles de Web3.
Le problème est que si un protocole DeFi est capable de bloquer les transactions suspectes, il aurait également la capacité de bloquer les retraits légitimes. Cela signifierait qu’elle ne résiste plus à la censure, et cela serait extrêmement controversé, car la crypto est fondée sur l’idéal de résistance à la censure.
Cependant, Khalsa souligne qu’il n’est possible d’introduire qu’un degré limité de centralisation dans les protocoles Defi.
« Nous n’avons pas besoin de centraliser l’ensemble du protocole, car il existe toute une gamme de contrôles qui peuvent être introduits », a-t-il soutenu. « Par exemple, nous pouvons programmer des contrats intelligents pour bloquer uniquement les transactions supérieures à 1 million de dollars, si elles répondent à des critères spécifiques qui les marquent comme suspectes. Cela éviterait d’énormes pertes de protocole, sans pour autant censurer les activités quotidiennes des utilisateurs.
Khalsa a également appelé les protocoles DeFi à travailler plus dur pour prévenir des incidents tels que les attaques de phishing, qui restent l’une des causes les plus courantes de piratage DeFi.
“Il existe une tonne d’outils, comme Blockaid, Tenderly, Alchemy, Blowfish et GoPlus”, a-t-il déclaré. “Ils [protocols] doit s’assurer d’alerter les utilisateurs ou d’appliquer des politiques basées sur les changements d’équilibre et les menaces potentielles détectées par ces outils.
En outre, il a exhorté les protocoles DeFi à rester vigilants, soulignant que la réponse rapide de l’équipe de Thala lui a permis de récupérer 25,2 millions de dollars sur le total de 25,5 millions de dollars volés, grâce aux mesures rapides qu’elle a prises.
« Le temps de réponse compte beaucoup ; plus tôt vous répondez, plus tôt vous pourrez empêcher un attaquant de retirer les fonds vers des mélangeurs ou des échanges », a noté Khalsa. « Les grandes entreprises forment souvent leurs employés pour qu’ils réagissent rapidement et efficacement aux incidents de sécurité, et cela fonctionne très souvent. »
Les problèmes de sécurité persistants de DeFi incitent à une refonte radicale, apparus en premier sur TechBriefly.
Source: Les problèmes de sécurité persistants de DeFi incitent à une refonte radicale
