L’espace de la finance d\u00e9centralis\u00e9e (DeFi) a connu une croissance importante au cours des derni\u00e8res ann\u00e9es, mais cette croissance s’est \u00e9galement accompagn\u00e9e du probl\u00e8me des exploits. \u00c9tant donn\u00e9 que le DeFi est relativement nouveau, il n’est pas surprenant que de nombreux protocoles aient \u00e9t\u00e9 pirat\u00e9s.<\/p>\n\n\n\n
L’ann\u00e9e 2021 a enregistr\u00e9 un nombre consid\u00e9rable de fonds vol\u00e9s dans le protocole. Cependant, l’ann\u00e9e 2022 est d\u00e9j\u00e0 en train de battre le record. Au cours des premiers mois de 2022, le nombre de piratages dans l’espace cryptographique a augment\u00e9 de 695 %, et jusqu’\u00e0 pr\u00e9sent, environ 1,3 milliard de dollars ont \u00e9t\u00e9 vol\u00e9s.<\/p>\n\n\n\n
Ci-apr\u00e8s figure une liste des dix piratages les plus populaires dans l’espace cryptographique :<\/p>\n\n\n\n
Robin Network<\/strong><\/p>\n\n\n\n Ronin Network a subi<\/a><\/strong> le plus grand exploit de DeFi de 2022 et le plus grand piratage de DeFi de tous les temps. Les hackers ont r\u00e9ussi \u00e0 pr\u00e9lever environ 625 millions de dollars du protocole. Ronin Network est connu pour h\u00e9berger un des plus grands jeux de type \u00ab\u00a0play-to-earn\u00a0\u00bb, Axie Infinity.<\/p>\n\n\n\n Le piratage a eu lieu sur le pont Ronin qui permet aux utilisateurs de transf\u00e9rer des actifs depuis et vers Ronin Network. Les hackers ont obtenu 5 des 9 cl\u00e9s de validation requises, ce qui leur a permis de cr\u00e9er de faux retraits. Les hackers ont \u00e9crit des transactions sur la cha\u00eene et ont ensuite valid\u00e9 ces transactions \u00e0 l’aide des cl\u00e9s vol\u00e9es.<\/p>\n\n\n\n Sky Mavis, le d\u00e9veloppeur du jeu P2E Axie Infinity, a d\u00e9couvert cette attaque six jours apr\u00e8s qu’elle se soit produite. La plateforme a expliqu\u00e9 que l’attaque avait \u00e9t\u00e9 caus\u00e9e par le non retrait des autorisations accord\u00e9es vers la fin de l’ann\u00e9e derni\u00e8re pour g\u00e9rer un nombre accru de joueurs.<\/p>\n\n\n\n Sky Mavis a depuis rembours\u00e9 les fonds vol\u00e9s. Elle a re\u00e7u 150 millions de dollars lors d’un tour de table men\u00e9 par Binance, auquel ont particip\u00e9 d’autres entreprises de crypto-monnaies populaires. Le protocole a ensuite annonc\u00e9 qu’il rembourserait les fonds restants en utilisant ses comptes personnels.<\/p>\n\n\n\n Le piratage de Ronin Network a r\u00e9cemment \u00e9t\u00e9 attribu\u00e9 \u00e0 des groupes de hackers bas\u00e9s en Cor\u00e9e du Nord. Le FBI et le d\u00e9partement du Tr\u00e9sor am\u00e9ricain ont attribu\u00e9 l’exploit aux groupes Lazarus et APT38.<\/p>\n\n\n\n Wormhole Bridge<\/strong><\/p>\n\n\n\n Le piratage de Wormhole Bridge<\/a><\/strong> est le deuxi\u00e8me plus grand exploit de DeFi de 2022. Le piratage a entra\u00een\u00e9 une perte de 325 millions de dollars en jetons Ether (ETH). Wormhole est un pont de communication entre les blockchains Ethereum et Solana.<\/p>\n\n\n\n Le hacker a exploit\u00e9 le pont Wormhole et a redirig\u00e9 l’ETH vers son portefeuille personnel. Cela a \u00e9t\u00e9 caus\u00e9 par une faille dans le contrat intelligent faisant le pont entre les deux blockchains. Le piratage du pont Wormhole a suscit\u00e9 des inqui\u00e9tudes quant \u00e0 la vuln\u00e9rabilit\u00e9 des ponts inter-cha\u00eenes.<\/p>\n\n\n\n Un mois avant ce piratage, Vitalik Buterin, le cofondateur de la blockchain Ethereum, avait d\u00e9clar\u00e9 que l’avenir de l’\u00e9cosyst\u00e8me financier d\u00e9centralis\u00e9 serait multicha\u00eene mais pas cross-cha\u00eene. Il a dit qu’il y avait des vuln\u00e9rabilit\u00e9s critiques dans la s\u00e9curit\u00e9 des ponts qui \u00e9taient utilis\u00e9s dans diff\u00e9rentes blockchains.<\/p>\n\n\n\n Selon un rapport d’une plateforme d’analyse de blockchain, le piratage a \u00e9t\u00e9 caus\u00e9 par l’incapacit\u00e9 du pont Wormhole \u00e0 valider les comptes des gardiens, ce qui a permis \u00e0 l’attaquant de frapper 120 000 jetons wETH sans qu’aucun ETH ne garantisse ces jetons.<\/p>\n\n\n\n Peu apr\u00e8s le piratage, le Jump Trading Group, impliqu\u00e9 dans le d\u00e9veloppement de Wormhole, a annonc\u00e9 qu’il s’attribuait le m\u00e9rite de remplacer les 120 000 jetons Ethereum vol\u00e9s. L’\u00e9quipe a \u00e9galement annonc\u00e9 qu’elle avait corrig\u00e9 la vuln\u00e9rabilit\u00e9.<\/p>\n\n\n\n Qubit Finance<\/strong><\/p>\n\n\n\n Fin janvier, Qubit Finance a \u00e9galement \u00e9t\u00e9 exploit\u00e9<\/a><\/strong> par des hackers. L’exploitation a entra\u00een\u00e9 une perte de plus de 80 millions de dollars. Qubit Finance est un protocole bas\u00e9 sur la Smart Chain de Binance. Les adresses de portefeuilles de crypto-monnaies associ\u00e9es \u00e0 l’attaque ont permis de voler 206 809 Binance Coin (BNB).<\/p>\n\n\n\n Le piratage s’est produit sur QBridge, et il a \u00e9t\u00e9 fait pour cr\u00e9er un grand nombre de xETH en garantie qui a ensuite \u00e9t\u00e9 utilis\u00e9 pour voler tous les jetons BNB stock\u00e9s sur QBridge. Selon les rapports des chercheurs en s\u00e9curit\u00e9, l’attaquant a utilis\u00e9 une option de d\u00e9p\u00f4t dans le contrat QBridge pour frapper environ 77 162 qXETH. Les attaquants ont menti au protocole en disant qu’ils avaient d\u00e9pos\u00e9 de l’argent dans le protocole, ce qui n’\u00e9tait pas le cas.<\/p>\n\n\n\n Le hacker a exploit\u00e9 le protocole \u00e0 plusieurs reprises et a converti tous les actifs vol\u00e9s en Binance Coin avant de les retirer dans leur portefeuille. Cette attaque a \u00e9t\u00e9 class\u00e9e comme la septi\u00e8me plus grande attaque dans l’espace DeFi.<\/p>\n\n\n\n Crypto.com<\/strong><\/p>\n\n\n\n Un autre piratage important a eu lieu sur la bourse Crypto.com<\/a><\/strong> en janvier. Le piratage a \u00e9t\u00e9 initialement signal\u00e9 par des utilisateurs qui ont affirm\u00e9 que leurs fonds sur la bourse avaient \u00e9t\u00e9 vol\u00e9s.<\/p>\n\n\n\n Crypto.com a confirm\u00e9 le piratage quelques jours plus tard, indiquant que 483 utilisateurs avaient \u00e9t\u00e9 touch\u00e9s. Le hacker a r\u00e9ussi \u00e0 retirer plus de 15 millions de dollars d’Ether (ETH) et 19 millions de dollars de Bitcoin (BTC). Des crypto-monnaies d’une valeur de 66 200 dollars ont \u00e9galement \u00e9t\u00e9 vol\u00e9es, les pertes totales s’\u00e9levant \u00e0 plus de 34 millions de dollars.<\/p>\n\n\n\n Crypto.com a d\u00e9clar\u00e9 avoir d\u00e9tect\u00e9 une activit\u00e9 malveillante o\u00f9 des transactions \u00e9taient ex\u00e9cut\u00e9es sans qu’un processus d’authentification \u00e0 deux facteurs soit compl\u00e9t\u00e9 par un utilisateur. La bourse a interrompu les retraits pendant environ 14 heures apr\u00e8s la violation, pendant que des enqu\u00eates \u00e9taient men\u00e9es.<\/p>\n\n\n\n Crypto.com n’a pas r\u00e9v\u00e9l\u00e9 comment l’attaquant a approuv\u00e9 les transactions sans compl\u00e9ter l’authentification \u00e0 deux facteurs n\u00e9cessaire pour tous les utilisateurs. La plateforme a \u00e9galement annonc\u00e9 qu’elle renfor\u00e7ait sa s\u00e9curit\u00e9 pour \u00e9viter des attaques similaires.<\/p>\n\n\n\n Le protocole Beanstalk<\/strong><\/p>\n\n\n\n Le dernier exploit sur le secteur DeFi s’est produit sur le Beanstalk Farms<\/a><\/strong>. L’exploit s’est produit le 18 avril et a entra\u00een\u00e9 une perte de garantie de 182 millions de dollars \u00e0 la suite d’une violation de s\u00e9curit\u00e9 d\u00e9clench\u00e9e par deux propositions de gouvernance malveillantes et une attaque de flash loan.<\/p>\n\n\n\n L’exploitation du protocole a \u00e9t\u00e9 caus\u00e9e par les propositions de gouvernance malveillantes BIP-18 et BIP-19. L’exploiteur a \u00e9mis les propositions et a ensuite demand\u00e9 au protocole de verser des fonds \u00e0 l’Ukraine. Cependant, les propositions \u00e9taient faites par un acteur malveillant qui avait cr\u00e9\u00e9 un gouffre pour les fonds.<\/p>\n\n\n\n L’exploiteur a r\u00e9ussi \u00e0 repartir avec 1 milliard de dollars en flash loan garantis par le protocole Aave et libell\u00e9s en monnaies stables, notamment DAI (DAI), USD Coin (USDC) et Tether (USDT). L’attaquant a utilis\u00e9 ces fonds pour r\u00e9unir suffisamment d’actifs n\u00e9cessaires pour contr\u00f4ler plus de 67 % de la gouvernance du protocole et approuver ses propres propositions.<\/p>\n\n\n\n Apr\u00e8s avoir vol\u00e9 les crypto-monnaies, l’attaquant a \u00e9chang\u00e9 les jetons BEAN contre de l’Ether (ETH) et a ensuite envoy\u00e9 les jetons \u00e0 Tornado Cash pour anonymiser les transactions. L’attaquant a \u00e9galement envoy\u00e9 250 000 au portefeuille de dons en crypto-monnaies du gouvernement Ukrainien.<\/p>\n\n\n\n WonderHero NFT<\/strong><\/p>\n\n\n\n Les plateformes de jetons non fongibles (NFT) ont \u00e9galement \u00e9t\u00e9 victimes d’une augmentation des attaques de piratage dans le domaine des crypto-monnaies. WonderHero<\/a><\/strong>, une multiplateforme GameFi populaire pour les appareils iOS et Android, a \u00e9galement \u00e9t\u00e9 exploit\u00e9e. Le hacker a commenc\u00e9 \u00e0 vendre les actifs vol\u00e9s imm\u00e9diatement, ce qui a rendu difficile pour la plateforme de faire une r\u00e9cup\u00e9ration.<\/p>\n\n\n\n L’exploit d’avril 2022 a entra\u00een\u00e9 des pertes de 80 millions de jetons WND \u00e9valu\u00e9es \u00e0 environ 30 millions de dollars lorsque l’exploit a \u00e9t\u00e9 signal\u00e9 par une soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9. Apr\u00e8s la violation, WonderHero a imm\u00e9diatement ferm\u00e9 son site Web et interrompu toutes les transactions utilisant des liquidit\u00e9s dans le jeu. La plateforme a \u00e9galement demand\u00e9 aux utilisateurs d’arr\u00eater les transactions avec les jetons WND.<\/p>\n\n\n\n Une analyse de la violation a montr\u00e9 que l’attaquant a compromis la cl\u00e9 priv\u00e9e du portefeuille principal de WonderHero. Les d\u00e9tails de la cl\u00e9 priv\u00e9e auraient pu \u00eatre divulgu\u00e9s \u00e0 l’attaquant. Le hacker a transf\u00e9r\u00e9 les jetons WND vol\u00e9s sur le DEX PancakeSwap et les a \u00e9chang\u00e9s contre environ 70 jetons BNB.<\/p>\n\n\n\n Opensea<\/strong><\/p>\n\n\n\n En janvier, la place de march\u00e9 NFT Opensea<\/a><\/strong> a subi un exploit massif permettant au pirate d’exploiter les utilisateurs de la plateforme et de les inciter \u00e0 acheter de faux NFT \u00e0 des prix extr\u00eamement \u00e9lev\u00e9s. Le hacker a r\u00e9ussi \u00e0 voler 332 ETH d’une valeur d’environ 754 000 dollars suite \u00e0 cet incident.<\/p>\n\n\n\n L’exploit a \u00e9t\u00e9 r\u00e9alis\u00e9 sur certains des NFT les plus pr\u00e9cieux, comme le Bored Ape Yacht Club (BAYC) et le Mutant Ape Yacht Club (MAYC). L’attaquant a achet\u00e9 les NFT aux bas prix qu’ils \u00e9taient initialement list\u00e9s sur la plateforme avant de les revendre plus tard aux prix courants du march\u00e9.<\/p>\n\n\n\n Les NFTs sp\u00e9cifiques affect\u00e9s par l’exploit sont BAYC #9991, BAYC #8924 et MAYC #4986. Le hacker \u00e0 l’origine de cet exploit \u00e9tait \u00e9galement un utilisateur d’OpenSea. Ce n’est pas le premier exploit de ce type sur Opensea. Il a \u00e9t\u00e9 signal\u00e9 que lorsque les utilisateurs inscrivent leurs actifs sur la place de march\u00e9 et d\u00e9cident d’annuler l’inscription par la suite, ils doivent payer des frais \u00e9lev\u00e9s et la valeur des actifs diminue. Cependant, ceux qui veulent \u00e9viter ces frais \u00e9lev\u00e9s ont trouv\u00e9 une alternative.<\/p>\n\n\n\n Au lieu de cela, les utilisateurs peuvent transf\u00e9rer les actifs qu’ils souhaitent annuler dans un portefeuille diff\u00e9rent, ce qui supprime le listing sur OpenSea. Toutefois, l’actif reste r\u00e9pertori\u00e9 sur la place de march\u00e9 via l’API d’OpenSea.<\/p>\n\n\n\n Le bug emp\u00eachant les actifs transf\u00e9r\u00e9s d’\u00eatre retir\u00e9s de la liste d’Opensea a \u00e9t\u00e9 d\u00e9tect\u00e9 en d\u00e9cembre de l’ann\u00e9e derni\u00e8re, mais OpenSea n’a pas publi\u00e9 de correctif. Cependant, la popularit\u00e9 des NFT pourrait avoir attir\u00e9 les hackers \u00e0 exploiter la place de march\u00e9.<\/p>\n\n\n\n Deus Finance<\/strong><\/p>\n\n\n\n Deus Finance<\/a><\/strong>, place de march\u00e9 de finance d\u00e9centralis\u00e9e (DeFi) multi-token, a subi un exploit en mars 2022. La plateforme a perdu plus de 3 millions de dollars en stablecoin DAI et en Ether (ETH).<\/p>\n\n\n\n Les hackers \u00e0 l’origine de l’attaque ont exploit\u00e9 et manipul\u00e9 un oracle de prix pour les flash loans, ce qui a entra\u00een\u00e9 la perte des fonds des utilisateurs. Les hackers ont \u00e9galement manipul\u00e9 la valeur de l’AMM StableV1 – USDC\/DEI. Le protocole a utilis\u00e9 cette paire de n\u00e9gociation pour fixer le prix de l’oracle pour ses flash loans.<\/p>\n\n\n\n Les experts en cybers\u00e9curit\u00e9 ont r\u00e9v\u00e9l\u00e9 que les attaquants ont vol\u00e9 200 000 jetons DAI et 1101,8 ETH. Les rapports estiment que le montant total vol\u00e9 pourrait \u00eatre plus \u00e9lev\u00e9 que les 3 millions de dollars qui ont \u00e9t\u00e9 pr\u00e9c\u00e9demment signal\u00e9s. Plus tard, l’attaquant a envoy\u00e9 les fonds vol\u00e9s par le biais de Tornado Cash, un outil de m\u00e9lange de pi\u00e8ces de monnaie.<\/p>\n\n\n\n Apr\u00e8s la divulgation de l’exploit, Deus Finance l’a reconnu. Elle a ajout\u00e9 qu’elle avait ferm\u00e9 le contrat de pr\u00eat DEI. Le protocole a en outre affirm\u00e9 que DEUS et DEI n’ont pas \u00e9t\u00e9 affect\u00e9s \u00e0 la suite de l’exploit.<\/p>\n\n\n\n Tinyman<\/strong><\/p>\n\n\n\n Tinyman a \u00e9t\u00e9 le premier protocole \u00e0 \u00eatre exploit\u00e9 en 2022. Le r\u00e9seau a \u00e9t\u00e9 pirat\u00e9<\/a><\/strong> par des utilisateurs non autoris\u00e9s qui ont acc\u00e9d\u00e9 aux pools du r\u00e9seau apr\u00e8s avoir compromis une vuln\u00e9rabilit\u00e9 connue sur les contrats intelligents du protocole.<\/p>\n\n\n\n Le protocole a d\u00e9clar\u00e9 que la violation a entra\u00een\u00e9 le vol d’ASA au cours des premi\u00e8res heures, ce qui a d\u00e9clench\u00e9 une forte volatilit\u00e9. Tinyman a publi\u00e9 une d\u00e9claration indiquant que le piratage a activ\u00e9 des adresses de portefeuilles et d\u00e9pos\u00e9 un fonds de d\u00e9marrage utilis\u00e9 pour la violation. Les hackers ont men\u00e9 l’attaque en ciblant des pools et ont ensuite \u00e9chang\u00e9 une partie de leurs fonds et des jetons Pool frapp\u00e9s.<\/p>\n\n\n\n Les hackers ont exploit\u00e9 un bug non identifi\u00e9 dans le processus de gravure des jetons Pool, permettant aux hackers de l’exploiter et d’acqu\u00e9rir deux actifs similaires et non deux actifs diff\u00e9rents. La plateforme a ajout\u00e9 que les hackers ont sp\u00e9cifiquement choisi les actifs \u00e0 voler car ils avaient une grande valeur par rapport \u00e0 ALGO, le jeton natif de l’\u00e9cosyst\u00e8me Algorand.<\/p>\n\n\n\n Le rapport de Tinyman ajoute que le hacker a \u00e9chang\u00e9 des pools en utilisant des stablecoins pour en tirer une valeur \u00e9lev\u00e9e, retirer les actifs vers d’autres portefeuilles de crypto-monnaies on-chain, et envoyer certains jetons vers des \u00e9changes centralis\u00e9s (CEX).<\/p>\n\n\n\n Tinyman a publi\u00e9 une d\u00e9claration \u00e0 l’intention de ses utilisateurs indiquant que les utilisateurs concern\u00e9s seraient rembours\u00e9s et que l’\u00e9quipe travaillait sur un plan de compensation. Elle a ajout\u00e9 qu’elle ne pouvait pas entraver les transactions effectu\u00e9es sur la blockchain car les contrats ne n\u00e9cessitent aucune autorisation.<\/p>\n\n\n\n