Dans quelle mesure votre actif numérique est-il sécurisé ? Vulnérabilités des contrats intelligents dans les NFT
Êtes-vous conscient des pièges potentiels en matière de sécurité qui se cachent dans les NFT ? Cet article vise à faire la lumière sur certaines vulnérabilités courantes des contrats intelligents, entraînant souvent des pertes importantes au sein de l'écosystème blockchain.
Nous explorerons quelques méthodes efficaces pour détecter et atténuer ces menaces de sécurité potentielles dans le paysage NFT.
Identifier et comprendre les vulnérabilités des contrats intelligents
Les contrats intelligents constituent l'épine dorsale des NFT, gérant la création, la propriété, l'identification et l'échange d'actifs numériques uniques et irremplaçables, le tout sans avoir besoin d'une autorité centrale.
Cependant, ces contrats, aussi révolutionnaires soient-ils, présentent des faiblesses. Les problèmes de sécurité des NFT peuvent entraîner diverses conséquences involontaires, du vol d'actifs aux inscriptions involontaires, car ils sont souvent ciblés par des exploits de code plutôt que par les NFT eux-mêmes.
Les vulnérabilités des contrats intelligents sont généralement ancrées dans des langages de code de haut niveau comme Solidity, Vyper ou Rust. Une seule erreur dans votre code Solidity peut donner lieu à de nombreuses vulnérabilités NFT.
De plus, le problème peut être aggravé lorsque les contrats interagissent les uns avec les autres, une seule vulnérabilité de contrat intelligent pouvant faire planter l'ensemble de l'application ou même les tiers qui en dépendent.
Problèmes fréquemment rencontrés :
Réentrée : Cette attaque se produit lorsque plusieurs transactions sont rapidement envoyées vers un contrat intelligent, ce qui conduit à des erreurs potentielles exploitées par les pirates.
Déni de service (DOS) : Les attaques DOS consistent souvent à rendre une fonction inexécutable en créant une boucle infinie ou en exploitant la limite de gaz d'Ethereum.
Débordements et sous-débordements arithmétiques : Ces erreurs sont liées au traitement des données dans le cadre du contrat et peuvent souvent entraîner des problèmes de sécurité NFT importants.
Visibilités par défaut : Dans les contrats intelligents Ethereum, la visibilité par défaut des fonctions est publique, laissant place à une exploitation potentielle par des acteurs malveillants.
Illusion d'entropie : Cette vulnérabilité des contrats intelligents survient lorsque les développeurs supposent à tort que la fonction blockhash peut fournir des nombres aléatoires, conduisant à des résultats manipulés.
Authentification Tx.Origin : L'utilisation de la commande tx.origin pour l'authentification peut conduire à des attaques de phishing, compromettant ainsi le contrat intelligent.
Conditions de course : Celles-ci se produisent lorsque le résultat d'une fonction dépend de l'ordre des transactions, laissant place à une exploitation potentielle.
Études de cas
Ces vulnérabilités NFT ont été exploitées dans plusieurs cas réels, entraînant des pertes substantielles. Voici quelques exemples :
Compromis du contrat NFT Trader : Le 16 décembre 2023, le site de trading NFT Trader a connu un exploit sur deux de ses anciens contrats, entraînant le vol de divers NFT de valeur, notamment Bored Apes, Art Blocks, World of Women et VeeFriends.
La vulnérabilité dans les contrats de NFT Trader a été identifiée par le fondateur de délégué.cash, 0xfoobar, qui a exhorté les utilisateurs de la plateforme à révoquer immédiatement toute autorisation associée aux contrats compromis.
Faille de sécurité dans la bibliothèque commune de contrats intelligents : Vers la fin de l’année 2023, Thirdweb, une société spécialisée dans les technologies web3, a découvert une faille majeure de sécurité des contrats intelligents dans une bibliothèque open source couramment utilisée.
Cette vulnérabilité aurait affecté les contrats intelligents prédéfinis tels que DropERC20, ERC721, ERC1155 et AirDrop20, mettant potentiellement en danger plusieurs collections NFT.
Dès sa découverte, Thirdweb a lancé une enquête avec ses partenaires d'audit. Heureusement, ils ont constaté que cette vulnérabilité n’avait été exploitée dans aucun de leurs contrats intelligents.
Dans le cadre de la résolution, la société a résolu le problème, probablement en corrigeant la vulnérabilité NFT dans la bibliothèque et en mettant à jour les contrats intelligents concernés pour utiliser la bibliothèque mise à jour.
Manipulation du jeton AllianceBlock : En février 2023, ALBT, le jeton natif d'AllianceBlock, a été victime d'un piratage Oracle qui a entraîné une importante manipulation des prix.
L'incident s'est produit lorsqu'un exploiteur a falsifié un oracle dans un contrat intelligent, lui permettant de manipuler les prix d'ALBT et de générer des quantités substantielles de stablecoin Bonq Euro (BEUR). Cette exploitation a entraîné une perte massive estimée à environ 120 millions de dollars.
Selon certaines informations, des pirates informatiques auraient siphonné environ 5 millions de dollars de jetons ALBT sur le protocole d'emprunt décentralisé Bonq. Dans un autre cas, des pirates ont compromis le contrat intelligent des protocoles et manipulé les jetons AllianceBlock, drainant environ 88 millions de dollars de crypto du système.
L'exploit a également eu un impact significatif sur la valeur d'ALBT, qui a plongé de 51 % immédiatement après l'incident et de plus de 65 % dans les jours suivants.
Réentrée Omni (juillet 2022) : En juillet 2022, Omni, une plateforme qui fonctionne comme un marché monétaire NFT, a subi une faille importante en raison d'une vulnérabilité de réentrée dans ses contrats Ethereum, entraînant une perte de 1,4 million de dollars.
Une analyse de sécurité du piratage a révélé que l'attaquant a réussi à drainer 1 300 ETH des fonds de test de la plateforme.
Bien qu'Omni ait rapidement souligné qu'aucun fonds d'utilisateur n'avait été affecté par l'incident, l'événement a soulevé de sérieuses questions sur la sécurité des plateformes blockchain et les mesures qu'elles doivent prendre pour se protéger contre de telles attaques.
Attaque DDoS LooksRare (janvier 2022) : Quelques heures seulement après son lancement le 11 janvier 2022, la plateforme LooksRare a été la proie d'une attaque par déni de service distribué, rendant le site inaccessible.
De nombreux utilisateurs ont signalé des difficultés à relier leurs portefeuilles numériques et ont rencontré des difficultés lorsqu'ils ont tenté de répertorier leurs NFT. L'équipe LooksRare a agi rapidement pour restaurer les fonctionnalités du site Web, même si le problème concernant la connectivité du portefeuille n'a pas été résolu pendant un certain temps encore.
Dans chacun des cas ci-dessus, le dénominateur commun était l’exploitation des vulnérabilités des contrats intelligents, allant des erreurs de codage aux défauts de conception. Il souligne l'importance d'un audit complet des problèmes de sécurité NFT avant le déploiement de tout contrat intelligent.
Atténuation des vulnérabilités
Bien que l’écosystème cryptographique soit constitué d’une technologie hautement expérimentale, plusieurs mesures peuvent être prises pour améliorer la sécurité des actifs numériques.
Il est essentiel d'être conscient des autorisations recherchées par votre portefeuille lors de transactions sur une plateforme et de vous assurer que vous n'accordez pas par inadvertance plus d'accès que prévu.
Pour les plateformes peu familières ou moins fiables, il est conseillé de créer un nouveau portefeuille et de tester la plateforme avec un petit montant avant de transférer des montants plus importants.
En tant que couche de protection supplémentaire, la synchronisation de votre portefeuille basé sur un navigateur avec votre portefeuille matériel peut offrir une opportunité supplémentaire de rectifier toute erreur de transaction.
Audit de contrats intelligents
Un audit régulier des contrats intelligents NFT peut aider à identifier et à corriger les vulnérabilités potentielles. Les entreprises spécialisées dans les services de sécurité dans ce domaine peuvent examiner le code de manière exhaustive, analyser les vulnérabilités et fournir des rapports détaillés.
Primes de bugs
À la suite d'audits internes, un projet NFT peut lancer un programme de bug bounty, invitant le public à identifier et signaler les vulnérabilités du contrat en échange de récompenses.
Une bonne gestion de projet
Précipiter le processus logiciel ou faire preuve d’une légère négligence peut entraîner des pertes importantes. Par conséquent, une bonne gestion de projet est essentielle pour éviter les problèmes de sécurité NFT.
L'avenir des contrats intelligents
Les contrats intelligents sont encore un domaine en évolution et les progrès récents ont considérablement accru leur sécurité. Les systèmes de communication entre les plateformes deviennent plus robustes et les projets déploient des cabinets d’audit et des systèmes d’IA et de robots pour signaler rapidement les transactions suspectes.
De plus, avec la surveillance accrue des forces de l’ordre et l’imposition d’exigences AML et KYC plus strictes aux acteurs du secteur de la cryptographie, le blanchiment d’argent après le piratage est devenu plus difficile.
En outre, la montée en puissance des pirates informatiques « au chapeau blanc », qui aident à identifier les vulnérabilités sans causer de pertes significatives aux plateformes, a également contribué à renforcer la sécurité des contrats intelligents.
Cependant, même avec ces mesures, il est essentiel de comprendre qu'aucun développeur ou programmeur ne peut prétendre que ses contrats sont sécurisés à 100 %. En tant que tel, les utilisateurs de NFT doivent toujours peser soigneusement les risques encourus.
Suivez-nous sur Google Actualités
