Les pirates ont volé plus de crypto-monnaie sur les plates-formes de financement décentralisé (DeFi) que jamais auparavant en 2022. Près de 98 % de tous les jetons lancés sur le porte-drapeau de DeFi, DEX Uniswap, ont été identifiés comme des tractions de tapis.

Le dernier en date, Defrost Finance, venu comme un cauchemar de Noël pour les investisseurs en crypto, effaçant 12 millions de dollars de leur argent. 

La plupart des piratages sur les plates-formes DeFi se produisent par des failles de sécurité et des exploits de code. Les projets qui finissent par être des escroqueries par tirage de tapis présentent de graves problèmes de sécurité qui ont été laissés échapper ou, peut-être, non détectés exprès. Pour prévenir des risques similaires, les audits de sécurité DeFi sont essentiels.

En savoir plus sur ces audits, comment ils sont menés et s'il est possible d'effectuer un audit DeFi par vous-même. 

Les projets DeFi sont mis en œuvre sous la forme de contrats intelligents complexes et auto-exécutables, souvent transparents et open source. Ils agissent comme des accords juridiques entre deux parties. Et comme aucune entité centralisée n'est derrière, même un petit bogue dans les contrats intelligents pourrait avoir des conséquences irréversibles.

Cela signifie qu'il ne devrait pas y avoir de place pour les erreurs dans les contrats intelligents. Les audits de sécurité des contrats intelligents DeFi sont destinés à garantir cela.

Les audits de sécurité examinent le code des contrats intelligents et comment il fonde les termes et conditions des contrats. L'analyse détaillée recherche les failles de sécurité potentielles, les violations et les bogues système dans le code, de sorte qu'il ne peut pas être exploité. 

Les audits de sécurité, généralement menés par des tiers, sont essentiels pour assurer la sécurité, la crédibilité des projets et maintenir un écosystème sain de DeFi.

L'extraction de tapis est un type d'escroquerie de sortie qui fonctionne selon un modèle simple : les développeurs créent un protocole DeFi d'apparence légitime, l'exécutent et le promeuvent jusqu'à ce que le projet attire suffisamment de liquidités, puis retirent les fonds et disparaissent. 

Eh bien, pas toujours. Parfois, les escrocs de tapis accusent les pirates d'avoir volé des liquidités et restent en activité jusqu'à la prochaine fois.

Pour mettre en œuvre une attaque, les escrocs intègrent un code malveillant dans les contrats intelligents. Ils les modifient pour empêcher les investisseurs de vendre : fixez les frais de vente maximum (100 %), mettez les propriétaires de jetons sur liste noire et verrouillez l'argent des utilisateurs dans un contrat.

Certains contrats intelligents impliquent d'y coder une "porte dérobée" malveillante, ce qui permet aux développeurs de retirer la liquidité.  

La plupart du temps, les contrats intelligents modifiés ne sont pas vérifiés par des auditeurs de sécurité et sont cachés aux yeux du public. Étant donné que la plupart des contrats en chaîne sont accessibles au public, un manque de transparence sur GitHub pourrait être un drapeau rouge. 

L'industrie de la blockchain et des contrats intelligents est encore relativement jeune, tout comme le secteur de l'audit des contrats intelligents. De nombreux cabinets se spécialisent dans les audits de sécurité des contrats intelligents, développent leurs outils et façonnent leur savoir-faire. 

Les normes et les meilleures pratiques de l'industrie de la sécurité des contrats intelligents évoluent. Malgré cela, certaines méthodes d'audit assez standard sont utilisées par les acteurs de l'industrie de l'audit DeFi.

En règle générale, leurs enquêtes commencent par l'évaluation du contrat intelligent. L'auditeur analyse le livre blanc, la logique métier et les spécifications techniques du protocole DeFi pour estimer les risques potentiels et les fonctionnalités de sécurité.

Ensuite, ils portent leur attention sur le code du contrat intelligent. C'est à ce moment que la révision et l'analyse du code commencent. 

Les auditeurs inspectent le code ligne par ligne, à la recherche de vulnérabilités de différents niveaux : critiques, pouvant entraîner une fuite de liquidité ; niveau moyen, qui pourrait partiellement endommager le contrat intelligent ; et les problèmes de bas niveau, qui affectent le moins la sécurité du contrat.

Ils déploient un certain nombre de techniques d'audit, y compris l'analyse automatisée et manuelle. Ils ont tous deux leur pour et contre.

L'audit de sécurité automatisé consiste à analyser le code avec un logiciel d'analyse automatisé, qui recherche les bogues dans la base de données des vulnérabilités connues et identifie leur emplacement précis dans le code.

L'audit logiciel est généralement effectué avant l'analyse manuelle pour détecter les erreurs que les humains pourraient ignorer. Il est plus rapide et prend moins de temps, mais en même temps, il peut ne pas toujours être conscient du contexte et passer à côté de certaines vulnérabilités. 

L'analyse manuelle du code est appelée un roi dans l'audit des contrats intelligents et est la partie la plus critique d'un audit de sécurité du code intelligent complet et précis. Elle est conduite par au moins deux experts distincts qui inspectent le code ligne par ligne.

L'objectif est de vérifier que chaque détail de la spécification du projet est implémenté dans le contrat intelligent et que rien ne viole son comportement initialement prévu. 

Les auditeurs examinent les comportements involontaires et inattendus, les problèmes de sécurité cruciaux et les vulnérabilités telles que la rentrée, les manipulations de données, les prêts flash et d'autres manipulations qui pourraient être mises en œuvre pendant que le contrat intelligent interagit avec les autres.

En plus de cela, des audits manuels exécutent des simulations pour évaluer dans quelle mesure le contrat intelligent du projet DeFi répond aux menaces non identifiées et dans quelle mesure il est capable de se défendre contre elles. 

Dans la dernière partie de l'analyse manuelle du code, l'auditeur compare la logique du contrat intelligent avec sa description dans le livre blanc du projet. 

Une fois que toutes les vulnérabilités ont été identifiées et corrigées, les auditeurs exécutent un processus de double vérification pour s'assurer que le code intelligent fonctionne comme prévu.

Enfin, une fois l'audit de sécurité terminé, les auditeurs préparent un rapport complet. C'est là qu'ils fournissent des commentaires détaillés sur ce qu'ils ont découvert. Généralement, leur rapport contient des recommandations sur la manière dont les faiblesses de code détectées peuvent être corrigées pour atténuer la sécurité du projet. 

Les contrats intelligents sont une innovation relativement récente. Leurs normes de sécurité évoluent pourtant en conséquence. Cela signifie qu'aucune règle d'or ne garantit une sécurité totale des contrats intelligents.

De plus, tous les cabinets d'audit de contrats intelligents ne sont pas identiques et tous les audits ne garantissent pas la sécurité. Les auditeurs peuvent avoir différents niveaux de compétence, différents objectifs et différents coûts.

Sans compter que le marché regorge de développeurs sommaires qui forgent le fait d'être audités et bénéficient du nom d'une entreprise respectable. C'est ce qui est arrivé à Bouclier, une société de sécurité blockchain et d'analyse de données, il y a plus d'un an :

Des situations comme celle-ci sont assez courantes dans l'espace des crypto-monnaies. Ils prennent le nom d'un auditeur légitime et respectable et le mettent dans leur livre blanc, en disant que leur protocole a été audité.

La seule façon d'éviter de tels cas est de vérifier la confirmation sur les canaux d'origine de l'auditeur. S'il n'y en a pas, il y a de fortes chances que le nom de l'auditeur ait été tout simplement volé. 

Vérifiez toujours son portefeuille de clients pour évaluer si l'auditeur est solide et réputé. Google les cas pour vérifier leurs enregistrements d'expérience et vérifier si l'un des projets audités a subi le tirage au sort ou d'autres attaques.

Avec autant de hacks et de tirages de tapis dans l'espace crypto, il est naïf d'imaginer que les projets DeFi sont en sécurité sans être inspectés. Les audits de contrats intelligents fournissent une couche de sécurité essentielle. 

Cependant, même les plus professionnels ne garantissent pas que le projet DeFi est absolument sans bogue. Les contrats intelligents sont complexes. Ils nécessitent une analyse détaillée et complète, une expertise, des outils et, surtout, plus d'une paire d'yeux.