Les prêts flash deviennent de plus en plus courants ces derniers mois avec plus de 200 millions de dollars volés au premier trimestre. Imaginez pouvoir contracter un prêt d’une taille presque illimitée sans fournir de garantie. Il n’y a qu’un seul hic. Vous devez le rembourser presque instantanément. Cela vous semble étrange? C’est probablement le cas. Mais c’est exactement ce qu’est un prêt flash.
Lire aussi : [Vidéo] Le minage de crypto: c’est fini !
Selon un rapport récent, les attaques de prêts flash sont en augmentation. Un rapport récent de De.Fi suggère que les prêts flash sont en augmentation et que les mauvais acteurs les utilisent dans un nombre croissant d’exploits. Au premier trimestre de cette année, 200 millions de dollars ont été perdus à cause de ce style d’exploit.
Mais pourquoi quelqu’un voudrait-il contracter un prêt quasi instantané ? Eh bien, comme beaucoup de choses en crypto, cela se résume à de bons rendements.
Les prêts flash et les attaques des méga-prêts expliqués
La logique des prêts flash repose sur l’arbitrage, le processus consistant à profiter de petites différences de prix. Contrairement à d’autres types de prêts, les prêts flash ne nécessitent pas un long processus d’approbation, ils peuvent donc s’exécuter rapidement.
Lors d’un interview avec BeInCrypto, Artem Bondarenko, architecte logiciel chez De.Fi explique:
Étant donné les faibles frais impliqués dans le prêt en une seule transaction, il existe un énorme potentiel de rendements élevés. Pour les créanciers d’un prêt flash, il n’y a aucun risque car le prêt est remboursé immédiatement. Sinon, la transaction échoue.
Dans la finance traditionnelle, il n’y a rien de tel qu’un prêt flash. C’est similaire à une option d’achat mais avec quelques différences significatives. Avec un prêt flash, vous pouvez utiliser l’argent emprunté tout de suite. Tandis qu’avec une option d’achat, vous devez attendre. De plus, dans la finance traditionnelle, les transactions se produisent généralement une à la fois, alors qu’avec les prêts flash, elles se produisent en blocs. Cependant, ces instruments à court terme ne sont pas complètement sans inconvénient, comme le souligne le rapport de De.Fi.
Une attaque de prêt éclair a lieu lorsqu’une personne est capable d’emprunter une somme énorme en un seul endroit. En outre, il peut l’utiliser pour manipuler les prix en achetant ou en vendant de grandes quantités, influençant ainsi le prix d’un actif. Ensuite, utiliser ce changement de prix pour exploiter l’achat ou la vente opposé d’un autre côté. Outre cela, créer un arbitrage entre les prix aux deux endroits, puis rembourser le prêt initial et empocher la différence.
Si le protocole de liquidité est correctement conçu avec les bons oracles de tarification, cela ne devrait pas être un problème. Cependant, dans les cas où la conception est mauvaise, la vulnérabilité conduit à un événement de liquidation de masse.
Qui sont les victimes des prêts flash?
Pour les attaquants, les prêts flash deviennent une aubaine. Car ils permettent d’emprunter de grosses sommes de cryptomonnaie sans fournir de garantie. Pour prévenir de telles attaques, il faudrait mettre en œuvre de meilleures mesures de sécurité. Par exemple, des audits de code et une conception de contrat intelligent robuste. De plus, la sensibilisation aux vecteurs d’attaque potentiels peut s’accroître au sein de l’écosystème DeFi.
Les dernières attaques sur les méga-prêts.
Le 13 mars, Euler Finance, un protocole de prêt bien connu basé sur Ethereum , a été piraté et l’attaquant a volé des millions de dollars de différentes crypto-monnaies, telles que Dai , USDC, Staked Ethereum et Wrapped Bitcoin , en exécutant plusieurs transactions.
Le mois précédent, le 16 février, Platypus Finance, un teneur de marché automatisé, a subi une attaque de prêt flash distincte. L’attaquant a volé pour 8 500 887 $ de pièces stables, dont USDC, USDT, BUSD et DAI.
Dans ce cas, l’attaquant a profité d’une vulnérabilité dans le mécanisme de contrôle de solvabilité de l’USP. Dans le processus, l’attaquant a obtenu un prêt flash de 44 000 000 USDC, puis l’a échangé contre 44 000 000 Platypus LP-USD. Ils ont ensuite frappé 41 700 000 jetons USP sans frais, qui ont été échangés contre divers stablecoins.
Platypus Finance a collaboré avec des services tiers pour geler les actifs volés, et certains ont déjà été gelés. Le contrat malveillant a été supprimé et des mesures de sécurité supplémentaires ont été mises en place pour empêcher de futures attaques. Cependant, l’attaquant a réussi à transférer une partie des fonds volés.
Comment réduire les risques ?
D’une certaine manière, les prêts flash restent l’un des grands égaliseurs de la cryptographie. Ils permettent aux commerçants disposant de moins de capital de s’engager dans des transactions très rémunératrices qui ne seraient généralement ouvertes qu’aux soi-disant baleines.
Adrian Hetman, responsable technique de l’équipe de triage chez Immunefi , à BeInCrypto déclare:
Mais comme nous l’avons vu à plusieurs reprises, les prêts flash présentent également un risque important pour les protocoles DeFi qui ne tiennent pas compte de telles choses.
Les protocoles ne doivent pas seulement se protéger contre d’éventuelles attaques par prêt flash, mais également contre les attaques de baleines. En l’occurrence, que se passerait-il si de gros joueurs utilisaient soudainement leurs énormes fonds pour utiliser notre protocole ? Le système se comporte-t-il comme prévu ? Quel est notre flux d’affaires prévu? Hetman continue. La modélisation des menaces aiderait à révéler les faiblesses potentielles du système.
En utilisant le prix moyen pondéré dans le temps (TWAP), les oracles peuvent aider à minimiser la manipulation des prix.
Notamment, en faisant la moyenne des prix sur une période spécifique. Ce qui rend plus difficile pour les attaquants de manipuler les prix en une seule transaction. De plus, la mise en œuvre de systèmes multi-oracles peut fournir une redondance et une vérification croisée des données de prix, renforçant encore les défenses contre la manipulation », a ajouté Hetman.
En mettant en place des disjoncteurs, on empêcherait les attaquants de profiter des prix manipulés.
Justement, lorsque des fluctuations de prix importantes sont détectées, a expliqué Hetman. Une fois que la cause de la variation des prix est identifiée et traitée, les échanges peuvent reprendre. Cela doit inclure des échanges potentiels valides qui ne peuvent sembler aussi suspects que de l’extérieur.
Il est également important de ne pas permettre à des actions protocolaires majeures de se dérouler sur un seul bloc. Les prêts flash, la plupart du temps, ne peuvent être contractés qu’en une seule transaction pour un bloc », a ajouté Hetman.
Source: BeInCrypto
