Acheter Cryptos
Payer en
USD
Acheter & Vendre
HOT
Achetez et vendez des cryptomonnaies via Apple Pay, cartes bancaires, Google Pay, virements bancaires et d'autres méthodes de paiement.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Carte Gate
Carte de paiement crypto, permettant d'effectuer des transactions mondiales en toute transparence.
Trader
Basique
Spot
Échangez des cryptos librement
Marge
Augmentez vos bénéfices grâce à l'effet de levier
Conversion & Trading en blocs
0 Fees
Tradez n’importe quel volume sans frais ni slippage
ETF
Soyez facilement exposé à des positions à effet de levier
Pré-marché
Trade de nouveaux jetons avant qu'ils ne soient officiellement listés
Avancé
DEX
Effectuez des transactions on-chain avec Gate Wallet
Alpha
Points
Obtenez des actifs prometteurs dans le cadre d'un trading on-chain rationalisé
Bots
Trade en un clic avec des stratégies intelligentes automatisées
Copier
Accroître sa richesse en suivant les meilleurs traders
CrossEx Trading
Beta
Un seul solde de marge, partagé par toutes les plateformes
Futures
Futures
Des centaines de contrats réglés en USDT ou en BTC
Options
HOT
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Lancement Futures
Préparez-vous à trader des contrats futurs
Événements futures
Futures Mall
Participez à des événements pour gagner de généreuses récompenses
Trading démo
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Earn
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
NEW
Tradez des actifs on-chain et profitez des récompenses en airdrop !
Points Futures
NEW
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Acheter à bas prix et vendre à prix élevé pour tirer profit des fluctuations de prix
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Gestion de patrimoine VIP
La gestion qui fait grandir votre richesse
Gestion privée de patrimoine
Gestion personnalisée des actifs pour accroître vos actifs numériques
Fonds Quant
Une équipe de gestion d'actifs de premier plan vous aide à réaliser des bénéfices en toute simplicité
Staking
Stakez des cryptos pour gagner avec les produits PoS.
Levier Smart
NEW
Pas de liquidation forcée avant l'échéance, des gains à effet de levier en toute sérénité
Mint de GUSD
Utilisez des USDT/USDC pour minter des GUSD et obtenir des rendements de niveau trésorerie
Plus
Sujets populaires
Afficher plus20.27K Popularité
97.86K Popularité
69.51K Popularité
20.09K Popularité
39.19K Popularité
Hot Gate Fun
Afficher plus- MC:$3.42KDétenteurs:20.05%
- MC:$3.42KDétenteurs:20.00%
- MC:$3.37KDétenteurs:10.00%
- MC:$3.38KDétenteurs:10.00%
- MC:$3.46KDétenteurs:10.70%
Épingler
Comment se produit une « attaque de prêt éclair » ? La vérité sur les trois mécanismes permettant aux hackers de réussir
Dans le développement rapide de la DeFi, les attaques par prêt flash sont devenues une menace de sécurité de plus en plus grave. Depuis la première attaque en 2020, les hackers ont déjà dérobé des centaines de millions de dollars d’actifs par ce moyen. Pour comprendre pourquoi les attaques par prêt flash sont si fréquentes et difficiles à prévenir, il est d’abord nécessaire de comprendre en profondeur le mécanisme de fonctionnement des prêts flash, ainsi que la manière dont les attaquants exploitent les vulnérabilités de l’écosystème DeFi pour mener ces attaques coordonnées et inter-protocoles.
Du prêt sans garantie à la menace DeFi — La double facette du prêt flash
Le prêt flash est une innovation financière lancée en début 2020 par Aave. Contrairement aux prêts traditionnels nécessitant une garantie et un processus de vérification de crédit fastidieux, le prêt flash possède trois caractéristiques principales, qui deviennent aussi des opportunités pour les attaquants.
Tout d’abord, il s’agit d’un prêt entièrement sans garantie. L’emprunteur n’a pas besoin de fournir d’actifs en garantie ni de passer par une vérification de crédit, et peut obtenir instantanément plusieurs millions de dollars en prêt. Ensuite, toutes les transactions sont exécutées automatiquement via des contrats intelligents sur la blockchain. La plateforme de prêt stipule que si l’emprunteur ne peut pas rembourser dans une seule transaction de bloc, l’ensemble de la transaction de prêt sera entièrement annulée, comme si elle n’avait jamais eu lieu. Ce mécanisme élimine le risque pour le prêteur — que l’emprunteur rembourse ou non, le système garantit la sécurité des fonds. Troisièmement, tout se déroule extrêmement rapidement. De l’approbation du prêt au remboursement, cela ne prend généralement que quelques secondes, tout doit être réalisé dans le même bloc.
Grâce à ces caractéristiques, les prêts flash se sont rapidement répandus dans la DeFi. Ils offrent aux utilisateurs de nouvelles opportunités d’arbitrage, permettant d’exécuter des transactions complexes, et proposent de nombreuses fonctionnalités innovantes impossibles dans la finance traditionnelle. Par exemple, les utilisateurs détenant des actifs volatils peuvent utiliser un prêt flash pour échanger temporairement des garanties, évitant ainsi le risque de liquidation ; ou encore, l’emprunteur peut changer de devise de prêt via un prêt flash pour contourner la hausse des taux d’intérêt.
Cependant, lorsque des prêts sans garantie, sans vérification de crédit et sans limite de risque apparaissent, des acteurs malveillants voient une opportunité. Ils commencent à exploiter la dépendance des protocoles DeFi aux informations de prix, en orchestrant une série d’actions coordonnées pour manipuler les prix, en une seule transaction de bloc, de l’emprunt au profit, puis au remboursement. C’est là toute la nature des attaques par prêt flash.
Analyse des détails des attaques — Deux cas clés de prêt flash
Pour comprendre comment ces attaques réussissent, il faut s’appuyer sur des cas concrets.
L’attaque de Fulcrum et Uniswap en 2020
La première attaque largement connue s’est produite en 2020. L’attaquant a obtenu un gros prêt en ETH via le protocole de prêt DeFi dYdX, puis l’a divisé en plusieurs parties, envoyant chacune à différentes plateformes de prêt et d’échange. Cette étape est cruciale — l’objectif de l’attaquant est de créer une réaction en chaîne entre plusieurs protocoles DeFi.
Sur la plateforme de prêt Fulcrum, l’attaquant a d’abord créé une position short sur ETH contre WBTC. Parallèlement, il a obtenu un autre prêt de WBTC via le protocole Compound. Ensuite, il a passé une grosse commande d’achat de WBTC sur Uniswap, une plateforme décentralisée avec une liquidité relativement faible.
En raison de la liquidité limitée de WBTC sur Uniswap, cette commande massive a immédiatement fait monter le prix du WBTC. Fulcrum, pour exécuter la commande, a été contraint d’acheter du WBTC à un prix bien supérieur au prix normal du marché. L’attaquant, qui détenait une position short, a subi une perte énorme lorsque le prix du WBTC a augmenté, mais ses actifs WBTC sur Compound ont considérablement augmenté en valeur.
En une seule transaction de bloc, l’attaquant a bouclé la boucle : il a remboursé son prêt ETH sur dYdX tout en réalisant un profit de plusieurs dizaines de milliers de dollars. Les utilisateurs de Fulcrum et Uniswap ont subi des pertes, Fulcrum ayant payé un prix artificiellement élevé pour le WBTC, ce qui lui a causé une perte directe de plusieurs millions de dollars.
L’attaque sur le protocole bZX et la manipulation du prix des stablecoins
Une autre attaque par prêt flash concerne Fulcrum basé sur le protocole bZX. Cette attaque a révélé une faiblesse dans la compréhension des prix par les contrats intelligents.
L’attaquant a de nouveau emprunté une grosse somme d’ETH via un prêt flash, puis a passé une grosse commande sur la plateforme décentralisée Kyber pour acheter des stablecoins sUSD. Le sUSD étant censé être indexé sur le dollar, son prix devrait rester autour de 1 dollar. Mais les contrats intelligents ne font qu’identifier les informations de transaction et les données de prix — ils ne comprennent pas la logique économique selon laquelle un stablecoin doit maintenir un certain prix.
Une commande massive a immédiatement fait monter le prix du sUSD à 2 dollars. L’oracle du système a détecté ce « nouveau » prix, et en se basant sur ce prix artificiellement gonflé, l’attaquant a pu emprunter plus d’ETH qu’auparavant. Après avoir effectué le prêt basé sur ce prix falsifié, il a remboursé le premier prêt et empoché la différence.
Ces deux attaques illustrent un schéma commun : les attaquants exploitent la dépendance des protocoles DeFi aux prix on-chain, en manipulant le prix sur des plateformes à faible liquidité pour créer de fausses informations, puis en profitant de ces données falsifiées pour tromper les contrats de prêt et autres plateformes, en une seule transaction de bloc, pour réaliser des gains et rembourser.
Guide pratique de défense — Comment contrer les attaques par prêt flash
Face à la fréquence croissante des attaques par prêt flash, les protocoles DeFi et les experts en sécurité ont développé des stratégies de défense à plusieurs niveaux.
Oracles décentralisés — Vérification multi-source des prix
La solution la plus directe consiste à utiliser des oracles décentralisés pour obtenir les prix des actifs. Contrairement à la dépendance à une seule source de prix on-chain, les oracles décentralisés agrègent les prix de plusieurs sources indépendantes pour déterminer le « vrai » prix. Ce processus garantit que même si une plateforme est manipulée, d’autres sources de prix normales peuvent contrebalancer la fausse information.
Plus important encore, de nombreux oracles décentralisés ont renforcé la vérification. Les fournisseurs de données doivent enregistrer leurs informations sur la blockchain, ce qui signifie que toute tentative de manipulation par de fausses données sera détectée lors de la confirmation du bloc, et la transaction pourra être annulée. Cela prolonge la fenêtre d’attaque du « seul bloc » à une période de confirmation plus longue, rendant l’attaque beaucoup plus difficile.
Pricing TWAP — Moyenne pondérée dans le temps
Une autre méthode efficace est l’utilisation du prix moyen pondéré dans le temps (TWAP). Au lieu de prendre le prix actuel, cette méthode calcule la moyenne des prix sur plusieurs blocs ou la médiane sur cette période.
L’avantage du TWAP est que : une attaque par prêt flash doit manipuler le prix sur plusieurs blocs pour influencer la moyenne, ce qui est pratiquement impossible sur une blockchain décentralisée. Les protocoles utilisant TWAP voient ainsi leur vulnérabilité fortement réduite face à ce type d’attaque.
Mises à jour fréquentes des prix et stratégies multi-blocs
Certains protocoles adoptent une approche plus proactive : augmenter la fréquence des requêtes de mise à jour des prix auprès des oracles. Des mises à jour plus fréquentes permettent de capter plus rapidement les fluctuations, et toute fausse hausse de prix sera détectée lors de la prochaine mise à jour.
De plus, certains utilisent une stratégie de « double confirmation de bloc », c’est-à-dire que la transaction doit être validée dans deux blocs séparés, plutôt qu’en un seul. Cela allonge la fenêtre d’opération pour l’attaquant et donne plus de temps au système pour détecter une activité anormale. Bien que cette méthode complique la mise en œuvre et puisse affecter l’expérience utilisateur, elle renforce la sécurité.
Systèmes de détection en temps réel
Enfin, certains protocoles DeFi et sociétés de sécurité ont développé des outils de détection d’attaques par prêt flash, capables d’identifier en temps réel des comportements de manipulation de prix, et d’intervenir rapidement. Cependant, en raison de la diversité et de l’évolution constante des techniques d’attaque, l’efficacité de ces outils doit encore être validée par davantage de cas concrets.
Perspectives futures de la DeFi — Les attaques par prêt flash ne seront plus une menace
Le secteur de la DeFi est encore à ses débuts en matière d’innovation rapide. À chaque incident d’attaque par prêt flash, l’écosystème progresse, et de nouvelles mesures de défense émergent. Les attaquants continueront à chercher des vulnérabilités, mais les techniques de défense se renforcent également.
Les oracles décentralisés, la stratégie TWAP, la mise à jour fréquente des prix, et d’autres mesures de sécurité ont déjà prouvé leur efficacité, et de plus en plus de protocoles DeFi adoptent ces standards. Avec l’amélioration continue des normes de sécurité, le risque que les attaques par prêt flash constituent une menace systémique sera considérablement réduit.
Mais surtout, la communauté DeFi doit instaurer une conscience collective de la sécurité. Les développeurs doivent prioriser la sécurité lors de la conception de nouveaux protocoles, les auditeurs doivent examiner en profondeur les vulnérabilités des mécanismes de prix, et les utilisateurs doivent faire preuve de prudence en choisissant des plateformes DeFi bien vérifiées. Lorsque tous les acteurs considéreront la prévention des attaques par prêt flash comme une responsabilité essentielle, la menace pourra être fondamentalement éliminée.
Dans cette évolution constante, le prêt flash en soi n’est pas le problème. Le vrai enjeu est de fournir la commodité, l’innovation et les opportunités d’arbitrage tout en établissant des mécanismes de défense suffisamment robustes. Lorsque cet équilibre sera atteint, la DeFi deviendra un écosystème financier plus sûr et plus mature.