Après les 16,5 milliards de dollars d'exploits, DeFi est désormais contraint d'adopter les contrôles auxquels il résistait autrefois
La crise du rsETH a entraîné 200 millions de dollars de créances irrécouvrables dans les livres d'Aave, bien qu'aucune ligne de ses contrats ne se comporte mal.
Le 18 avril, des attaquants que Chainalysis avait préalablement liés à Lazarus ont compromis l'infrastructure RPC, forcé un basculement vers des nœuds empoisonnés via DDoS et injecté de fausses données dans une configuration DVN 1 sur 1 sur le pont rsETH de KelpDAO.
Le faux message a libéré environ 116 500 rsETH, et le rapport d'incident d'Aave a confirmé qu'Ethereum avait accepté nonce 308 tandis que le point de terminaison source Unichain n'avait jamais dépassé 307.
L'attaquant a fourni le rsETH compromis à Aave et a emprunté sur celui-ci, ce qui a entraîné des créances irrécouvrables et a servi de cadre à l'état actuel de la sécurité de DeFi.
Les exploiteurs ont extorqué plus de 635 millions de dollars lors de 28 incidents en avril, soit le pire total mensuel depuis plus d'un an. DefiLlama estime le coût historique cumulé des piratages à 16,5 milliards de dollars, dont 7,7 milliards de dollars ciblant spécifiquement DeFi.
Les exploits très médiatisés sur Drift et le pont KelpDAO ont fait perdre à DeFi près de 11 milliards de dollars en valeur totale bloquée le mois dernier.
Cette contraction s'est produite alors que les rails stables, les trésors tokenisés et les couches de règlement réglementées gagnaient en traction institutionnelle sur les mêmes marchés de capitaux.
Les exploiteurs DeFi ont extrait 635 millions de dollars lors de 28 incidents en avril, la pire perte mensuelle du secteur depuis plus d'un an, tandis que les piratages historiques cumulés ont atteint 16,5 milliards de dollars.
Comment DeFi s’est-il retrouvé ici ?
Mitchell Amador, PDG d'Immunefi, a déclaré à CryptoSlate que DeFi a toujours récompensé la croissance, les intégrations, la liquidité et la rapidité par rapport à la maturité de la sécurité.
Un protocole qui ajoute un nouvel actif, un pont, un oracle, un adaptateur ou une dépendance externe gagne en utilité immédiate. Le risque que comporte l’intégration ne produit aucun signal de prix visible jusqu’à ce qu’un exploit se matérialise, car l’absence d’incident est invisible tant qu’elle dure.
Cette asymétrie a maintenu les cycles d'audit et les pratiques d'isolement au second plan par rapport à la vitesse d'expédition pendant des années, jusqu'à ce qu'en avril, les conséquences soient concentrées sur un seul mois.
Amador a déclaré que les pratiques les plus négligées étaient l'hygiène et la gestion multisig, le renforcement de la chaîne d'approvisionnement, la surveillance en temps réel et les procédures d'intervention d'urgence.
Trop d'équipes ont traité le multisig comme une solution de sécurité en soi, alors que sa force réelle dépend du nombre de signataires, de l'indépendance de ces signataires, de leur configuration opérationnelle et des processus d'examen des transactions.
Un multisig à bas seuil, une sécurité de signataire faible ou un pont ou un oracle mal surveillé peuvent devenir une exposition systémique car les protocoles DeFi sont composables par défaut. Dans ce paysage, le risque transite par les intégrations aussi efficacement que la liquidité.
Tandis que cette culture se formait au sein de DeFi, un modèle différent se construisait en parallèle.
Ben Nadareski, PDG de Solstice Finance, a évalué :
"L'écart de production par personne vous indique ce qui se passe lorsque vous supprimez tout ce qui n'est pas la fonction financière principale. Les équipes qui remporteront cette manche seront celles qui se sont construites sur la conformité et la sécurité dès le premier jour, prêtes à expédier plus rapidement qu'une banque ne peut convoquer une réunion à ce sujet."
DeFi a construit des rails composables pendant plus d’une demi-décennie avant que Wall Street ne les reconnaisse comme la véritable couche d’infrastructure du prochain système financier.
Le coût de cette position précoce sur le marché était une culture de sécurité calibrée pour la rapidité plutôt que pour la discipline opérationnelle.
Kasper Pawlowski, CTO d'Euler Finance, nomme la dimension de gouvernance de ce même échec dans son analyse post-incident.
Il a dit :
"DeFi traite l'évaluation des risques comme une décision d'intégration ponctuelle, alors qu'en réalité le risque est dynamique."
La configuration DVN 1 sur 1 qui a permis l'exploit KelpDAO existait en production depuis des années. Kelp dit qu'il s'agissait du LayerZero par défaut expédié et examiné lors de plusieurs réunions d'intégration, tandis que LayerZero dit que Kelp l'a rétrogradé.
Quelle que soit la version exacte, la configuration est restée intacte lors de chaque intégration avec chaque protocole en aval. LayerZero a depuis interdit la configuration à l'échelle du protocole, reconnaissant que permettre à son DVN d'agir comme seul vérificateur pour les transactions de grande valeur était une erreur.
Scène
Que s'est-il passé
Pourquoi c'était important
Infrastructure RPC compromise
Les attaquants ont compromis l'infrastructure RPC liée à la configuration du pont rsETH
L'attaque a commencé en dehors des principaux contrats intelligents, montrant comment l'infrastructure hors chaîne peut devenir le point d'entrée
Basculement forcé DDoS
Le trafic a été poussé vers des nœuds empoisonnés via un basculement forcé
Cela permet aux attaquants de contrôler l'environnement de données vu par le vérificateur de pont
Fausses données injectées dans un DVN 1 sur 1
Des nœuds empoisonnés ont introduit de fausses données dans une configuration DVN à vérificateur unique
Une configuration de vérificateur 1 sur 1 signifiait qu'il n'y avait pas de contrôle indépendant pour arrêter le faux message
Message de pont forgé accepté
Le faux message a libéré environ 116 500 rsETH
De fausses garanties ont effectivement été mises en circulation
Faux rsETH fourni à Aave
L'attaquant a déposé du rsETH compromis dans Aave comme garantie
Aave a traité l'actif comme