Des attaques « peu sophistiquées » à l’origine de 90 % des vols de crypto-actifs

L’écosystème de la finance décentralisée (DeFi) et de la blockchain est jeune, ce qui le rend vulnérable à des failles assez simples, et impose une grande rigueur pour sécuriser les systèmes et les échanges.

Pour s’en convaincre, Bishop Fox a analysé les 65 principaux vols sur des applications blockchain et DeFi de 2021, représentant un total de 1,8 milliard de dollars : les chercheurs concluent en effet que 90 % de ces vols résultaient d’« attaques non sophistiquées ».

Les trois principaux vecteurs d’attaque en 2021 furent par ailleurs :

• des vulnérabilités dans des smart contracts (51 % des cas) ;
• des défauts de protocole et de conception (18 %) ;
• des compromissions de portefeuilles (10 %).

« Nous pouvons constater que dans la plupart des cas, l’attaque provenait d’une vulnérabilité dans les smart contracts ou dans la logique même du protocole. Ce n’est pas surprenant pour une technologie récente qui peut manquer d’un certain recul technique sur la mise en place de mesures de sécurité », exposent les chercheurs.

Concernant les vulnérabilités dans les smart contracts, les trois plus exploitées furent des bugs connus, des vulnérabilités contenues dans les forks et des attaques sophistiquées.

Bishop Fox estime que la grande majorité des attaques pourraient être évitées grâce à des audits et des tests robustes avant la mise en production. La société encourage également les développeurs qui utilisent des forks à vérifier régulièrement leurs bases de code.

Cela impose un véritable changement de paradigme : « les développeurs de DeFi ont tendance à rechercher l’innovation dans leurs algorithmes plus que la protection », pointe ainsi la société de cybersécurité.