2022 n’enlèvera certainement pas l’image de “monnaie de singe” que le grand public se fait parfois des cryptomonnaies. Pour l’oncle qui, au repas de Noël, s’épanche sur ses finances, la crypto est ce coin d’Internet où l’on va à coup sûr abandonner ses billes là à des escrocs, là à des rug pulls, là à des hackers. Hiver crypto ou bull run, il y a en effet quelque chose qui ne change pas : les piratages.
Un dénominateur commun : l’erreur humaine
Sur Twitter, le hashtag #REKT rassemble les investisseurs désabusés qui “se sont fait avoir”. Le vocable est en fait le raccourci de “wrecked”, une expression qui nous vient du gaming. A côté des investisseurs qui racontent leurs déconvenues, vous avez donc des trolls qui, à coup de mèmes “rekt”, se moquent joyeusement des premiers. Car les piratages quels qu’ils soient ont un dénominateur commun : une erreur humaine, souvent liée à la naïveté, à l’appât du gain ou à une mauvaise gestion des risques.
Les piratages ont toujours fait partie de l’écosystème crypto. La taille du marché et la couverture médiatique leur ont tout simplement donné un écho plus important. Évidemment, il existe des dizaines de formes de piratage, et sans pouvoir tous les passer en revue, essayons de nous intéresser aux plus importants qui ont fait l’actualité en 2022.
1 – Le vol de clés privées (“private keys hack”)
Dans la blockchain, la possession n’est pas physique comme les billets dans un portefeuille. Ce que reconnaît la blockchain, c’est la capacité de quelqu’un à signer des transactions. Il faut en effet signer ses transactions avec une clé cryptographique associée à l’adresse depuis laquelle on souhaite initier une transaction.
C’est pour cela que quand on perd sa clé privée, on perd ses cryptos. Cela peut se produire, que l’on utilise un portefeuille matériel Ledger ou un portefeuille en ligne tel que Metamask. Vos bitcoins et vos ethers ne sont pas directement stockés dans ceux-ci. Ce qu’il y a dedans, c’est juste le sceau, la plume, le tampon qui permet de signer des chèques. L’argent, lui, est toujours dans la blockchain !
Ainsi, même lorsque votre ordinateur ou votre smartphone est compromis, vous pouvez toujours accéder à vos fonds depuis un autre appareil, tant que vous disposez de la clé privée (ou de la seed phrase) correspondante. Il s’agit d’une phrase composée de 12 à 24 mots issus du “dictionnaire” de Bitcoin.
Le vol de clés privées est le piratage le plus courant et le plus facile à réaliser. Souvent le hacker va reproduire trait pour trait un site de plateforme d’échange, et amener un investisseur naïf à renseigner dans l’ordre les mots composant sa clé privée. Avec pareil procédé (dit “phishing” ou hameçonnage), il est en mesure de restaurer l’accès à votre adresse crypto à partir d’un appareil propre à lui !
2 – L’exploitation d’une faille dans le code d’un protocole (“crypto exploit”)
La majorité des attaques sur la finance décentralisée (DeFi) s’est concentrée sur des vulnérabilités dans les contrats intelligents et des erreurs de conception des protocoles décentralisés. Les attaques de type “re-entrancy” restent une véritable hantise pour les développeurs de contrats intelligents.
Comme vous le savez, les contrats sont dit “intelligents” car il s’agit de programmes auto-exécutés. Leurs termes sont normalement gravés dans le marbre. Ou plutôt dans des lignes de code. Un smart contract de prêt s’exécute par exemple tant que l’emprunteur dépose suffisamment de garanties. Il liquide automatiquement le prêt lorsque le cours des cryptos déposées en garantie franchit un seuil à la baisse. C’est terriblement pratique car cela élimine le besoin d’un tiers centralisé.
Sauf qu’une procédure de contrat blockchain peut parfois être ré-entrante. Cela signifie que son exécution peut être interrompue au milieu, recommencée (on parle de “re-entry”), et les deux exécutions peuvent se conclure sans que le contrat renvoie une erreur … A partir de là, le code continue de s’exécuter, mais avec des paramètres fous et dans un état incohérent qui permet des manipulations d’envergure.
La première manipulation qui vient à l’esprit est la planche à billets. En exploitant la “re-entrancy”, un pirate peut dicter à un contrat intelligent de distribuer plus de tokens que la limite initialement prévue par son code.
3 – L’attaque des 51% sur les bridges et les sidechains (“51% attack”)
Attention, danger. Ce type de piratage a rapporté plus de 2 milliards aux pirates cette année. C’est le type d’attaque le plus redouté par le protocole Bitcoin (BTC). L’attaque des 51 % se produit lorsqu’un attaquant parvient à contrôler plus de la moitié des nœuds validateurs d’un réseau. Ce faisant, il est en mesure de s’approprier la validité des transactions, d’en annuler certaines, d’en rajouter d’autres, etc.
Sur le réseau Ethereum, un attaquant disposant de la majorité des jetons et des nœuds peut travailler sur un bloc (avec des paiements qu’il a déjà effectués) et basculer sur un autre bloc. L’attaquant peut construire une chaîne concurrente plus rapidement que les autres nœuds du réseau car il contrôle la majorité des jetons.
Sur le réseau Bitcoin qui s’appuie sur des machines puissantes, cela serait en revanche plus difficile. En effet, le réseau Bitcoin s’appuie sur environ 15 000 mineurs. La tâche d’un hacker s’annonce incroyablement ardue, pour ne pas dire impossible car il faudrait déployer 51% de la puissance de calcul du réseau. Pour un protocole aussi sécurisé et transparent que Bitcoin, l’attaque des 51 % est donc au mieux un mythe.
Malheureusement, les attaques dites des 51% sont plus faciles à mener sur les petits protocoles avec un nombre de validateurs réduit. Un collectif de hackers pourrait par exemple prendre facilement le contrôle d’une blockchain fonctionnant avec seulement 10 validateurs.
4 – Les tokens, NFT et ICOs frauduleux (“rug pull”)
Sachez que créer une cryptomonnaie basique vous prendrait moins de quinze minutes sur la Binance Smart Chain, la blockchain de la plateforme d’échange Binance. Vous ne serez donc pas étonné d’apprendre que 2022 aura été une année historique pour les tokens frauduleux. Selon le dernier rapport de la société Solidus Lab, spécialisée dans la détection de scam tokens, pas moins de 117 629 tokens frauduleux ont vu le jour cette année !
Ce rapport dévoile un autre chiffre qui fait froid dans le dos : près de 2 millions d’investisseurs ont perdu leur mise depuis septembre 2020. C’est plus que le nombre de déposants victimes des faillites de Celsius et FTX réunies …
Dans ce type d’arnaque, les créateurs du token abandonnent le projet une fois que les fonds ont commencé à affluer, et repartent avec l’argent des investisseurs. D’où le nom de “rug pull”, littéralement tirer le tapis.
Pour donner plus d’ampleur à leur butin, les escrocs ont recours à un mécanisme bien connu, le fameux “pump and dump”. La mécanique consiste à inciter un grand nombre de personnes à investir massivement dans un token, pour faire grimper le cours très haut et très vite. Le premier cercle d’initiés revend ensuite ses positions en bloc, empoche des gains maximaux et laisse le cours retomber verticalement.
Bien souvent, les escrocs et les membres associés ne sont pas connus ou utilisent des identités faussement plausibles. Ils ont également recours à des posts monnayés auprès de célébrités et d’influenceurs, afin de faire parler du projet. La nature des projets est très diverse, allant du jeu “play-to-earn” (ex : Squid Game) au projet “utilitaire” reprenant subtilement le nom d’une plateforme connue ou d’une blockchain référence (ex : EthereumMax).
5 – La manipulation de prix (“oracle price manipulation”)
Dans la Grèce antique, l’oracle était la réponse donnée par une divinité à une question sur l’avenir, posée par une prêtresse. Par extension et déformation, c’est ensuite à l’intermédiaire humain, voire le lieu sacré, que le nom d’oracle a été attribué.
Un “oracle de blockchain” n’en est pas si éloigné dans sa conception. Aujourd’hui une application blockchain n’a conscience que d’elle-même. Si l’on veut y intégrer une data extérieure, le protocole informatique ne sait pas le faire tout seul. Les oracles sont une solution à ce problème : ils “transportent” des données issues du monde réel et les poussent ensuite dans le smart contract.
Pour les développeurs d’applications sur la blockchain, les oracles sont donc essentiels. En code blockchain, on parle plutôt de “réseaux d’oracles décentralisés” (DON – Decentralized Oracle Networks”). Imaginez que vous mettiez en place votre propre stablecoin adossé au Bitcoin (BTC), celui-ci aura besoin de savoir à tout moment le cours du BTC sur CoinMarketCap, ou directement issu des plateformes Binance et Coinbase.
L’oracle Chainlink (LINK) est pourtant l’un des rouages essentiels de la finance décentralisée. Car il sécurise actuellement 235 protocoles DeFi, pour une “valeur totale sécurisée” supérieure à 9 milliards de dollars, soit 46% de la valeur sécurisée par des oracles selon les données compilées par DeFiLlama.
Mais comment faire pour détecter en amont un projet frauduleux ? Une solution qui semble prometteuse : Dash 2 Trade. Si vous nous suivez un peu, nous parlons beaucoup de ce projet de tableau de bord crypto depuis quelques semaines. Une sorte de « terminal Bloomberg des cryptos » qui centraliserait données de cours, données on-chain et surtout données sur les ICOs. Une équipe aidée d’une IA est à la manœuvre pour analyser des milliers de tokens émergents, en attribuant des scores à divers aspects : audit, dirigeants, tokénomique, qualité du code, etc. Rendez-vous en janvier pour la sortie de la version bêta. En attendant, achetez vos premiers tokens D2T :
Les crypto-actifs représentent un investissement risqué.
Partager
Romaric Saint Aubert
Crypto-journaliste
