L'exploit de Popsicle Finance montre que l'innovation DeFi stagne

Les développeurs et les auditeurs DeFi deviennent laxistes. Les attaquants profitent d’un exploit qui existe sur plusieurs plates-formes DeFi et s’enfuient avec des millions de dollars.

Dans le dernier exploit DeFi, « Popsicle Finance », une plate-forme qui déploie automatiquement les fonds des utilisateurs dans le pool de liquidités qui leur donne le rendement le plus élevé, a été exploitée pour 25 millions de dollars par un attaquant qui a profité d’une faille dans le code de Popsicle Finance.

Ce qui est malheureux, c’est que Mudit Gupta, un chercheur en sécurité, a souligné que ce bogue existait dans les protocoles de contrat DeFi fin juin.

co/8We72JgZBo

Pourtant, les projets DeFi qui se sont concrétisés par la suite, ainsi que les développeurs et auditeurs de contrats intelligents, n’ont pas réussi à reconnaître et à corriger ce bogue qui existe dans de nombreux protocoles DeFi.

« Lorsqu’un utilisateur dépose des jetons dans Popsicle, il met à jour ‘token0PerSharePaid’ et ‘token1PerSharePaid’ sur son compte pour savoir quand il a déposé les jetons. Cela aide le contrat à payer des récompenses à l’utilisateur à partir de la date à laquelle il est entré plutôt que dès le premier jour », a déclaré Gupta peu de temps après l’attaque.

« Le bug de Popsicle est que ces variables ne sont pas mises à jour lorsque l’utilisateur transfère sa part à une adresse différente. La nouvelle adresse est éligible pour réclamer des récompenses à partir du jour 0 plutôt qu’à partir du moment où l’utilisateur a déposé ses jetons. C’est ce que l’agresseur a fait. Ce bogue permet également à l’utilisateur de continuer à transférer les actions et à réclamer des récompenses pour les mêmes actions plusieurs fois en utilisant différents comptes.

Où est le progrès ?

Plutôt que de prendre le temps de rédiger le contrat pour l’application ou le service qu’ils cherchent à créer, plusieurs développeurs DeFi copient et collent simplement le code de projets qui atteignent des objectifs similaires. Même lorsque les plates-formes DeFi paient pour un audit de sécurité avant leur mise en ligne, il n’est pas rare que les auditeurs passent à côté de bogues cruciaux dans des contrats qui ouvrent la voie à des exploits de plusieurs millions de dollars, comme lorsqu’Akropolis, la plate-forme DeFi qui a subi deux audits indépendants, a été exploité.

« Les auditeurs et les développeurs de contrats intelligents doivent suivre l’écosystème. Ce code n’aurait pas dû arriver en production », a déclaré Gupta.

Le manque d’innovation et de progrès montre qu’une majorité de l’industrie DeFi ne s’est pas améliorée au fil du temps. Les nouveaux projets sont généralement des fourches d’anciens projets sans nouvelles fonctionnalités, juste un nouveau nom, les développeurs et les auditeurs manquent toujours des bogues critiques dans le code qui peuvent drainer la réserve de liquidité d’un projet, et les attaquants exploitent toujours ces bogues et s’enfuient avec des millions de dollars. Bien qu’un temps considérable se soit écoulé depuis la création de DeFi, peu de choses ont changé.

le guide de ressources ultime pour en savoir plus sur Bitcoin – comme envisagé à l’origine par Satoshi Nakamoto – et la blockchain.