Un avertissement a été lancé concernant les vulnérabilités de la finance décentralisée suite à une saisie très médiatisée d'actifs numériques volés

Griff Green, membre du Conseil de sécurité de l'Arbitrum, a fait part de ses inquiétudes quant à la manière dont les protocoles de prêt gèrent les jetons de jalonnement liquide. Green, un vétéran du piratage Ethereum DAO de 2016, a signalé des failles de sécurité opérationnelle dans la finance décentralisée. Il a pris la parole à la suite de la récupération de 72 millions de dollars d'actifs cryptographiques volés liés à des pirates nord-coréens. L'incident impliquait un exploit Kelp DAO qui a affecté Aave et a entraîné le vol d'environ 300 millions de dollars de jetons via une attaque de pont. Le Conseil de sécurité de l'Arbitrum a agi rapidement après avoir retracé 72 millions de dollars dans des portefeuilles contrôlés par la Corée du Nord. Le conseil fonctionne comme un groupe de neuf sur douze multi-signatures doté de pouvoirs d'intervention d'urgence. Travaillant aux côtés de l'équipe Seal 911, le conseil a gelé les fonds volés à une nouvelle adresse. Cette adresse reste inaccessible aux attaquants, interrompant ainsi tout mouvement ultérieur. Green a souligné que c'était la première fois que le conseil utilisait ses pouvoirs pour geler directement des fonds. Auparavant, ces pouvoirs couvraient uniquement les mises à niveau de protocole et les corrections de bogues. L’action s’est appuyée sur le consensus social plutôt que sur l’immuabilité du code. Green a fait référence au hard fork Ethereum DAO 2016 comme un précédent pour ce type d’intervention. Sur la nature des blockchains, Green a été direct : « Les blockchains ne sont pas immuables et peuvent être modifiées par le biais d’un consensus social. » Il a souligné le hard fork Ethereum DAO comme preuve que la communauté peut agir en cas de besoin. Cette fois, cependant, les enjeux concernaient les fonds d’un autre parti plutôt que les siens. Cette distinction a rendu l’effort de rétablissement moins personnel mais non moins urgent. Les 70 millions de dollars récupérés relèveront désormais de la gouvernance d'Arbitrum DAO. Les détenteurs de jetons voteront sur la manière de redistribuer ces fonds aux utilisateurs concernés. Cette approche reflète la gouvernance décentralisée dans la pratique. Cela crée également un précédent quant à la manière dont les fonds volés peuvent être traités lors d’incidents futurs. Green a déclaré que les bugs des contrats intelligents ne constituent plus la plus grande menace à laquelle est confrontée la cryptographie. Au lieu de cela, il a souligné des failles de sécurité opérationnelle telles que des fuites de clés privées. Les acteurs nord-coréens, en particulier, s’appuient largement sur des tactiques d’ingénierie sociale. Ces méthodes contournent entièrement les protections au niveau du code et ciblent les vulnérabilités humaines. S’attaquant au fossé plus large en matière de sécurité, Green a averti que l’industrie doit s’aligner sur les normes des entreprises technologiques matures. Il a observé que les attaquants comme la Corée du Nord « s’appuient souvent sur l’ingénierie sociale plutôt que sur les exploits des contrats intelligents ». Ce changement de tactique signifie que les audits techniques seuls ne suffisent plus. Les équipes doivent également renforcer leurs processus internes et leurs contrôles d'accès. Green a également expliqué comment les protocoles de prêt comme Aave abordent les jetons de jalonnement liquide. Il estime que ces plateformes sont « trop lâches avec des jetons de jalonnement liquides » et négligent les risques techniques sous-jacents. Cette surveillance crée une exposition que les mauvais acteurs peuvent exploiter via des attaques de pont. Des cadres de risque plus stricts autour de ces actifs réduiraient considérablement cette vulnérabilité. Pour l’avenir, Green soutient les efforts en cours tels que le Fonds de sécurité DAO. Cette initiative vise à identifier et à soutenir les projets de sécurité critiques sur Ethereum. Une infrastructure plus solide profite à l’écosystème dans son ensemble au fil du temps. Rendre la cryptographie sûre et accessible aux utilisateurs quotidiens reste l’objectif à long terme.