Les défenseurs de DeFi sont engagés dans une course aux enjeux élevés avec des attaquants sophistiqués

Il existe de nombreuses façons de gagner de l’argent dans la finance décentralisée (DeFi), et il existe de nombreuses façons d’en perdre. En plus d’acheter le mauvais token au mauvais moment ou de devenir détenteur d’un token non fongible (NFT) illiquide, les escroqueries et les piratages sont également courants.
Au cours des trois dernières années, les outils que nous utilisons pour interagir avec DeFi, les portefeuilles Web, les plateformes et les protocoles sont devenus plus conviviaux. Mais dans le même temps, on constate une augmentation des tentatives de phishing, de piratage et de fraude. Une course aux armements est en cours, les défenseurs de la DeFi s’efforçant de renforcer leurs protocoles contre les attaquants. Il s’agit d’une bataille à enjeux élevés pour l’avenir de DeFi.
Les pirates continueront à pirater
Il existe une idée fausse très répandue selon laquelle seuls les nouveaux utilisateurs sont la proie des pirates. Ils font l’erreur de cliquer sur des liens de phishing ou de répondre à des messages frauduleux. Même si les débutants sont des proies faciles, la réalité est que n’importe qui peut être une cible. Même les vétérans de la DeFi peuvent tomber ; il suffit d’un moment d’inattention.
La plate-forme Web3, qui invite les utilisateurs à signer une transaction pour confirmer la propriété du portefeuille, est l'une de ces faiblesses. Dans de nombreux cas, ce que vous signez ni pourquoi vous le signez n’est pas clair. Il suffit d’un compte Twitter compromis ou d’une injection de code frontal pour qu’un pirate informatique transforme une plateforme Web3 réputée en pot de miel.
Le défenseur continuera à défendre
Les partisans de DeFi, notamment les chapeaux blancs, les chercheurs en sécurité et les concepteurs d'interfaces, ont riposté en donnant aux utilisateurs des outils pour détecter les menaces. Des extensions de navigateur ont été développées pour rappeler aux utilisateurs les autorisations qu'ils ont accordées à chaque fois qu'ils signent une transaction, et celles-ci peuvent détecter efficacement les demandes de signature malveillantes. Cependant, les fenêtres contextuelles provoquées par ces étapes supplémentaires risquent de provoquer une fatigue des notifications.
D'autres solutions tentent d'obtenir un aperçu des contrats intelligents avec lesquels les utilisateurs DeFi interagissent pour déterminer s'ils contiennent du code malveillant. Blockfence a développé une interface qui avertit les utilisateurs du Web3 de tout danger avec lequel ils pourraient entrer en contact par inadvertance. Ses couches de protection combinent des analyses sophistiquées, des algorithmes d’apprentissage automatique et des données communautaires accumulées pour dresser un tableau plus large du risque systémique. Il a récemment été vu avec succès en train de sauver des utilisateurs sans méfiance du site Web de phishing de l'ETH Denver.
Ces solutions doivent être complétées par des outils de protection contre d'autres vecteurs d'attaque. Les ponts sont des canaux importants pour transférer des fonds entre les blockchains et constituent le maillon faible. Les attaques de transition ont coûté 2 milliards de dollars l'année dernière, et le secteur a besoin de solutions plus robustes pour déplacer les actifs entre les chaînes et identifier les attaques avant que des millions de dollars ne soient volés.
Des pirates informatiques au chapeau blanc qui ripostent aux outils médico-légaux plus puissants pour suivre et potentiellement geler les fonds volés, les utilisateurs DeFi sont prêts. Mais tant que le nombre de crypto-monnaies volées chaque année ne commencera pas à diminuer, il est difficile de prétendre que les gentils gagnent cette bataille. Malgré tous les progrès, DeFi reste fragile.