#DeFi - Decentralized Finance : la précipitation des développeurs d’applications engendre de sérieux risques

Par Dane Sherrets, Solution Security Architect chez HackerOne.


La Decentralized Finance, ou DeFi, est un usage relativement nouveau dans le monde de la blockchain - la technologie ayant permis le bitcoin. Il s’agit d’applications financières destinées à recréer les systèmes financiers traditionnels. Au cours de l'année écoulée, la DeFi a connu une croissance significative : des milliards de dollars de crypto-monnaies sont désormais verrouillés dans des contrats intelligents. Ces contrats intelligents sont des codes auto-exécutables qui s'exécutent à une adresse spécifique sur la blockchain Ethereum.

La DeFi étend le champ d’action des crypto-monnaies

L'un des principaux avantages des crypto-monnaies est leur confidentialité et leur accessibilité. Les utilisateurs n'ont pas besoin de comptes bancaires et sont identifiés par des paires de clés publiques/privées plutôt que par leur identité réelle. Les transactions en crypto-monnaies offrent également de faibles frais de transaction et un traitement plus rapide que les transactions en monnaie fiduciaire. Elles peuvent également être effectuées par des personnes non bancarisées.

Avec la DeFi, l’utilisation des crypto-monnaies va au-delà du simple transfert de valeur pour s’étendre à des cas d'usages financiers plus complexes.

Les trois exemples les plus courants sont les suivants :

Les dérivés DeFi - Ces actifs réels ou virtuels prennent de la valeur en fonction de la performance d'une entité sous-jacente telle qu'un actif crypto, une monnaie fiduciaire ou des matières premières comme l'or, les actions ou les obligations.

Prêts et emprunts - Les emprunteurs individuels et les organisations peuvent facilement accéder aux plateformes de prêt de DeFi, gagnant des intérêts sous forme de crypto-monnaies sur leurs fonds déposés, le tout sans interférence de tiers.

Gestion d'actifs - La gestion d'actifs de DeFi aide les clients à sécuriser et à gérer leurs actifs financiers avec des outils pour les plateformes d'échange, la diversification des actifs du portefeuille et le suivi des investissements sur plusieurs plateformes.

Plus la complexité de ces contrats augmente, plus le risque s'accroît. Par conséquent, les fonds DeFi sont des cibles lucratives pour les acteurs malveillants.

La “composabilité” un risque autant qu’une opportunité

La croyance veut que si chaque composant d'un système a été vérifié individuellement comme étant sûr, le système dans son ensemble l’est aussi. Mais ce postulat est faux

Le domaine de la Decentralized Finance en est la preuve pour la simple et bonne raison que les développeurs y font un usage fréquent, si ce n’est systématique, du concept de “composabilité”.

Il est souvent préférable pour une entreprise traditionnelle de s'installer à un endroit où il y a déjà des résidents, des services publics, des lois, de la sécurité et une économie de marché dynamique.

De la même manière, les développeurs gagnent un temps considérable en s'appuyant sur des ressources partagées telles que des fonctionnalités, voire un code existant.

Pourtant cette méthode de construction, aussi efficace soit-elle, comporte des risques. Non seulement elle expose les applications aux risques traditionnels de type “supply chain”, mais elle peut engendrer d’autres risques puisque deux composants réputés sûrs, une fois combinés, peuvent créer une vulnérabilité ou engendrer un comportement inattendu.

Il est donc essentiel de prêter une attention particulière à cette contrainte lors de la création d’applications DeFi.

Samczsun, un expert du domaine de la blockchain explique ainsi qu’en matière de sécurité DeFi on observe deux postures bien distinctes : d'une part, on trouve des projets de qualité médiocre rapidement mis sur le marché pour profiter des envolées de prix et gagner de l'argent rapidement. D’autre part, les projets de haute qualité se fondent sur les apprentissages récents pour construire des produits dont les fondements de sécurité sont solides.

Il précise qu’à ce stade, il est encore difficile d’envisager l’ensemble des risques et de comprendre l’étendue des vulnérabilités susceptibles d’émerger.

En attendant que des outils facilitent la mise en œuvre de produits plus sûrs, mais aussi l’analyse et la détection des vulnérabilités, il est essentiel de confronter le code et les mécanismes au regard de hackers éthiques. Compte tenu du risque financier encouru, les programmes de divulgation des vulnérabilités et de Bug Bounties peuvent rapidement s’avérer payants.

https://www.hackerone.com/

Vendredi 29 Octobre 2021


Articles similaires