Les investisseurs ne devraient pas déposer et trader des crypto-monnaies avec des DEXs (exchanges décentralisés) dont le score en termes de sécurité est faible. D’après une étude, ils sont plus de 50% dans cette situation.
La cybersécurité n’est pas seulement un enjeu pour les exchanges centralisés (CEX). Elle l’est aussi pour les DEX. Or, selon un audit réalisé par Hacken, la sécurité s’avère une faille potentielle pour une majorité de ces services crypto.
« Les classements de sécurité sont cruciaux pour l’évaluation des DEX. Nous ne recommandons pas de déposer et de négocier des crypto avec les DEX avec un faible score CER.live » prévient le PDG de Hacken Group, Dyma Budorin.
Balancer victime d’une faille du smart contrat
Plusieurs facteurs peuvent ainsi mettre en péril la sécurité des exchanges décentralisés. L’éditeur pointe notamment du doigt les vulnérabilités au niveau des smart contrats. La plateforme Balancer en a récemment fait les frais.
Une faille permettait à un hacker de dérober pour 500.000 dollars grâce à un smart contract défaillant. Cet incident aurait pourtant pu être évité. « Le cas du Balancer a été rendu possible parce que l’équipe technique n’a pas corrigé un bug découvert par des chercheurs tiers en cybersécurité deux mois auparavant » signale Hacken.
Ce n’est cependant pas la seule brèche possible dans la sécurité des DEX. D’après l’étude, 14 des 25 principaux services audités obtiennent ainsi un faible score de cybersécurité. Sur une échelle de 1 à 10, ils décrochent donc un score inférieur à 6.
Pour appartenir aux très bons ou bons élèves, le score doit être de respectivement 6 à 8, voire supérieur. Ils sont cependant peu nombreux à pouvoir revendiquer une telle robustesse en termes de cybersécurité.
92% des DEXs doivent investir plus en sécurité
C’est néanmoins le cas pour des plateformes incontournables de la finance décentralisée (DeFi), comme Uniswap (8,35), Syntetyx (8,25) ou CRV (7,35). Balancer, incriminé plus haut, décroche un score de 6,35. Cela ne signifie pas cependant qu’il soit infaillible.
La sécurité est en effet un travail d’amélioration continue. Or dans ce domaine, la marge de progression reste conséquente. L’étude épingle ainsi les exchanges pour leurs pratiques d’audit. Malgré des évolutions logicielles, celles-ci ne s’accompagnent pas nécessairement d’un audit du code.
« 6 bourses (24%) n’ont pas passé un audit de sécurité ou n’ont pas annoncé publiquement qu’elles avaient fait l’objet d’un audit. Il convient de noter qu’un exchange non audité ne peut pas être considéré comme sûr » préviennent les auteurs du classement.
Les DEXs pourraient cependant être considérés comme moins exposés à des attaques que leurs homologues centralisés. Cet argument est balayé par le rapport. Il considère donc que 92% des 25 principaux DEX doivent accentuer leurs efforts en cybersécurité.
Christophe Auffray
