Le piratage de KelpDAO révèle les faiblesses de la sécurité Web3

Le piratage de KelpDAO a révélé plusieurs failles dans la sécurité Web3. Le problème majeur était que les blockchains exécutaient parfaitement des transactions basées sur des données défectueuses.

La sécurité Web3 reste une priorité, comme moyen de restaurer la confiance dans les protocoles DeFi. Le piratage de KelpDAO a eu des répercussions durables sur le prêt en DeFi et a soulevé des questions sur le renforcement de la sécurité Web3.

Les piratages DeFi ont atteint un sommet d’un an en avril, ouvrant la voie à une discussion sur les risques liés à Web3 et sur de meilleures méthodes pour intercepter les piratages. | Source : DeFiLlama.

La récente vague de piratages en avril pourrait amener les applications à réévaluer leur façon d’accéder aux données et de permettre les transactions. Des piratages similaires ont continué en mai, avec $930K perdu ce mois-ci jusqu’à présent. Récemment, le protocole Bisq a perdu $858K en raison d’une logique de protocole défectueuse et d’une attaque par faux client, selon les données de DeFiLlama.

Les applications Web3 ont un problème de vérification des données

Selon Victor Fei d’Ormilabs, le piratage de KelpDAO est un exemple clair de la façon dont une application peut continuer à fonctionner, même si l’état de la blockchain ne correspond pas aux données.

Fei a expliqué que les applications ne se réfèrent pas toujours directement à la blockchain. Elles s’appuient plutôt sur des intermédiaires tels que les nœuds RPC, plutôt que sur des données brutes en chaîne. C’est une exigence pour Ethereum et d’autres chaînes plus anciennes, qui ne sont plus viables pour un accès direct pour la plupart des applications.

Avec une source de données limitée, un pont ne peut se fier qu’à un petit ensemble de nœuds RPC. Lorsque certaines sources sont compromises ou indisponibles, l’application peut fonctionner avec de mauvaises données, tandis que la chaîne sous-jacente continuera à compter les transactions comme valides.

La plupart des applications Web3 modernes n’accèdent pas directement à la chaîne, mais s’appuient sur des formes d’indexation pour récupérer les informations pertinentes. L’indexation peut afficher des données défectueuses ou devenir une voie directe d’attaque.

L’exploitation de KelpDAO a révélé cette vulnérabilité dans toute sa splendeur. Le processus de vérification faisait confiance à un nombre limité de sources RPC, et des attaquants ont détourné certaines de ces sources. Avec une couche de données défectueuse, la blockchain a traité les transactions comme d’habitude et a dépensé de véritables coins en échange d’un faux solde.

Le problème devient encore plus sérieux si des agents IA sont autorisés à agir en se basant sur une couche de données limitée et potentiellement défectueuse.

Que peut améliorer la sécurité Web3 ?

Le plus gros défaut de KelpDAO, Drift Protocol et d’autres piratages récents est la rapidité d’exécution. La majorité des transactions ont été effectuées immédiatement et finalisées dans le bloc suivant, sans période de refroidissement ni vérifications supplémentaires. Web3 a vanté sa capacité à réaliser des transactions rapides et sans permission, mais cela permet aussi aux mauvais acteurs d’exécuter leur vol rapidement.

« L’avenir de la sécurité Web3 repose sur la rapidité. Nos données montrent que le piratage et le blanchiment d’argent sont rapides et peu coûteux, tandis que la réponse des équipes est lente et coûteuse », a commenté Vladyslav Syrotin, responsable des investigations chez Global Ledger, à Cryptopolitan.

Syrotin pense que les projets Web3 devraient réduire leur délai de détection pour repérer des flux sortants inhabituels, des chutes de liquidité soudaines ou des appels suspects aux contrats intelligents.

Selon lui, les alertes et les blocages devraient être automatisés dans la seconde suivant une attaque, et les rapports des victimes ainsi que l’étiquetage des données devraient être prêts en 10 minutes. Actuellement, il faut des heures ou des jours pour faire le bilan total des pertes et retrouver les clusters de portefeuilles des attaquants.

Syrotin a ajouté qu’un délai plus lent, avec des alertes en 30 secondes et un étiquetage en quatre heures, pourrait aider à prévenir environ la moitié des incidents et à réduire les pertes.

Ne vous contentez pas de lire l’actualité crypto. Comprenez-la. Abonnez-vous à notre newsletter. C’est gratuit.