DeFi : après 16,5 milliards de dollars d’exploits, le secteur se tourne vers les contrôles qu’il rejetait autrefois

Un exploit record révèle les failles structurelles de DeFi

Le protocole rsETH, lié à KelpDAO, a subi une attaque majeure le 18 avril, entraînant la création frauduleuse de 116 500 rsETH. Bien qu’aucun contrat n’ait été compromis, cette faille a généré 200 millions de dollars de créances douteuses sur la plateforme Aave. Les attaquants, présumément liés au groupe Lazarus, ont exploité une faille dans l’infrastructure RPC, forçant un basculement vers des nœuds corrompus via une attaque DDoS et injectant des données falsifiées dans une configuration DVN.

L’enquête a révélé qu’Ethereum a accepté un nonce 308, tandis que l’endpoint source Unichain n’avait pas dépassé le nonce 307. Les attaquants ont ensuite utilisé ces rsETH frauduleux pour emprunter sur Aave, aggravant la crise. Ce scénario illustre les vulnérabilités persistantes d’un secteur où la vitesse et l’innovation ont souvent primé sur la sécurité.

Un bilan désastreux pour avril 2024

Avec 28 incidents et 635 millions de dollars perdus, avril 2024 marque le pire mois en termes d’exploits depuis plus d’un an. Selon DefiLlama, les pertes cumulées dans le secteur s’élèvent désormais à 16,5 milliards de dollars, dont 7,7 milliards ciblant spécifiquement DeFi. Les attaques contre Drift et le pont KelpDAO ont également provoqué une chute de près de 11 milliards de dollars en valeur totale verrouillée (TVL) en un seul mois.

Pendant ce temps, les rails des stablecoins, les trésoreries tokenisées et les couches de règlement réglementées gagnent en traction auprès des institutions financières. Une tendance qui met en lumière l’écart croissant entre DeFi et les infrastructures financières traditionnelles.

Pourquoi DeFi a-t-il ignoré la sécurité si longtemps ?

Mitchell Amador, PDG d’Immunefi, explique que DeFi a historiquement privilégié la croissance, l’intégration et la vitesse au détriment de la maturité en matière de sécurité. L’ajout d’un nouvel actif, d’un pont, d’un oracle ou d’un adaptateur apporte une utilité immédiate, mais le risque associé ne devient visible qu’en cas d’exploit. Cette asymétrie a maintenu les audits et les bonnes pratiques en matière d’isolation en arrière-plan pendant des années.

Amador souligne que les pratiques les plus négligées incluent :

• L’hygiène et la gestion des multisignatures (multisig) ;
• Le renforcement de la chaîne d’approvisionnement ;
• La surveillance en temps réel ;
• Les procédures d’urgence.

Beaucoup d’équipes considèrent à tort le multisig comme une solution de sécurité autonome, alors que son efficacité dépend du nombre de signataires, de leur indépendance, de leur configuration opérationnelle et des processus de validation des transactions. Un multisig à seuil faible, une sécurité insuffisante des signataires ou un pont/oracle mal surveillé peuvent devenir des failles systémiques, car DeFi est par nature composable.

Vers une nouvelle ère : sécurité et conformité au cœur des priorités

Ben Nadareski, PDG de Solstice Finance, analyse : « Le fossé en termes de productivité par employé révèle ce qui se passe lorsque l’on élimine tout ce qui n’est pas essentiel à la fonction financière principale. Les équipes qui émergeront victorieuses seront celles qui auront intégré la conformité et la sécurité dès le premier jour, capables de livrer plus vite qu’une banque ne peut organiser une réunion. »

DeFi a construit des rails composables pendant plus de cinq ans avant que Wall Street ne reconnaisse leur potentiel en tant qu’infrastructure financière de demain. Cependant, ce leadership précoce s’est payé au prix fort : un manque criant de normes de sécurité adaptées à l’ampleur des enjeux actuels.

« DeFi doit désormais accepter que la sécurité n’est plus une option, mais une nécessité pour survivre. Les protocoles qui ne s’adapteront pas risquent de disparaître au profit d’infrastructures plus robustes et réglementées. »