Les attaques de flash loan se font de plus en plus courantes dans le monde de la finance décentralisée (DeFi). Est-il temps de tirer la sonnette d’alarme ?
Imaginez pouvoir obtenir un prêt d’un montant presque illimité, sans aucune garantie. Seul hic : vous devez le rembourser presque instantanément. Curieux, n’est-ce pas ? Eh bien, c’est exactement la définition du flash loan. Comme son nom l’indique, un flash loan, ou prêt flash, est un prêt qui s’obtient et qui se rembourse dans la même transaction.
Selon un nouveau rapport de De.Fi, les flash loans ont le vent en poupe en ce moment. Cependant, les mauvais acteurs les utilisent à mauvais escient. Depuis le début de l’année, les attaques de flash loan ont coûté 200 millions de dollars au secteur de la 💱 finance décentralisée (DeFi).
Maintenant, vous vous demandez probablement à quoi servent ces flash loans quasi-instantanés ? Eh bien, comme la plupart des 🧰 outils DeFi, ce type de prêt permet de booster les gains des investisseurs.
Flash loan et attaque de flash loan : quelles différences ?
La logique des flash loans repose sur ce que l’on appelle l’🤖 arbitrage crypto, une méthode consistant à tirer parti des différences de prix entre les différents exchanges. Contrairement à d’autres types de prêts, le flash loan ne nécessite pas un long processus d’approbation et peut s’exécuter en seulement quelques minutes.
“Étant donné que tout se déroule en une seule transaction, le coût de ces prêts reste très faible. En conséquence, ils offrent des rendements très élevés”, explique Artem Bondarenko, développeur logiciel chez De.Fi, à BeInCrypto. “les créanciers ne courent aucun risque, car le flash loan est remboursé immédiatement. Sinon, la transaction ne passe pas”.
Comme vous l’aurez deviné, les flash loans n’existent pas dans le monde de la finance traditionnelle. Ils sont toutefois légèrement similaires aux 💵 options d’achat. Avec un prêt flash, vous pouvez utiliser l’argent emprunté tout de suite, tandis qu’avec une option d’achat, vous devez attendre. De même, dans la finance traditionnelle, les transactions sont généralement traitées une par une. En revanche, les plateformes DeFi traitent les transactions de flash loans par lot.
Malgré tous ses avantages, le flash loan n’est pas sans inconvénients. C’est du moins ce que révèle la plateforme d’analyse De.Fi dans un nouveau rapport.
“Une attaque de flash loan se produit lorsqu’une personne emprunte une grosse somme et l’utilise pour manipuler les prix en achetant ou en vendant de grandes quantités d’un actif spécifique, influençant ainsi son cours”, explique M. Bondarenko. “Ensuite, cette personne profite de la variation de prix pour vendre ou acheter l’actif sur une autre plateforme, créant ainsi une opportunité d’arbitrage. Enfin, elle rembourse le prêt initial et empoche la différence”.
“Si le protocole de liquidité est bien conçu avec les bons oracles de tarification, cela ne devrait pas poser problème. Cependant, dans les cas où la conception du protocole est mauvaise, ses failles peuvent être exploitées. Chose qui peut conduire à une liquidation massive”, poursuit le développeur software.
Qui sont les victimes ?
Les prêts flash sont attrayants pour les attaquants car ils permettent d’emprunter de grosses sommes de cryptomonnaie sans fournir de garantie. Pour éviter de telles attaques, les plateformes DeFi doivent prendre des mesures de sécurité, notamment en matière d’audit et de conception de contrats intelligents.
Le 13 mars, Euler Finance, un protocole de prêt basé sur Ethereum, 😵 a subi une attaque flash loan. En seulement quelques minutes, l’attaquant a volé des millions de dollars en 🪙 DAI, USDC, Staked Ethereum (stETH) et Wrapped Bitcoin (WBTC), en exécutant plusieurs transactions.
Au total, l’attaque a valu 196 millions de dollars à Euler Finance, dont 8,7 millions de dollars en DAI, 18,5 millions de dollars en WBTC, 135,8 millions de dollars en stETH et 33,8 millions de dollars en USDC.
L’attaquant a ensuite déplacé les fonds volés de ⛓️ Binance Smart Chain vers Ethereum via un bridge multichaîne. Enfin, pour brouiller les pistes et dissimuler ses traces, il a envoyé les fonds vers 🌪️ Tornado Cash, un mixer crypto bien connu.
Le 16 février, soit un mois auparavant, Platypus Finance a perdu 8 500 887 $ en stablecoins (dont USDC, USDT, BUSD et DAI) dans une attaque de flash loan.
Pour mener son attaque, le pirate a profité d’une faille dans le mécanisme de contrôle de solvabilité du teneur de marché automatisé. Ainsi, il a demandé un prêt flash de 44 000 000 USDC, puis l’a échangé contre 44 000 000 LP-USD (tokens distribués par Platypus aux fournisseurs de liquidité). Ensuite, il a émis 41 700 000 jetons USP sans frais, puis les a échangés contre des stablecoins.
Heureusement, Platypus Finance a fait appel à des services tiers pour geler une partie des actifs volés. Le contrat malveillant a été supprimé et des mesures de sécurité supplémentaires ont été mises en place pour empêcher de futures attaques. Cependant, l’attaquant a pu s’emparer d’une bonne partie des fonds volés.
Comment éviter une attaque flash loan ?
D’une part, les prêts flash favorisent l’équité au sein du marché crypto. Ce, en permettant aux petits traders de s’engager dans des transactions très rentables qui ne seraient autrement accessibles qu’aux baleines. “Mais, comme nous l’avons vu à plusieurs reprises, les flash loans présentent également des risques importants pour les protocoles DeFi qui ne font pas attention à ce type de choses”, explique Adrian Hetman, responsable technique chez Immunefi, à BeInCrypto.
“Les protocoles doivent non seulement se protéger contre les attaques de flash loan, mais aussi contre les attaques de baleines. Par exemple, que se passerait-il si de gros traders sortaient soudainement leurs énormes réserves pour utiliser notre protocole ? Le système fonctionnera-t-il comme prévu ? Quel sera notre flux d’activité ? La modélisation des menaces peut aider à révéler les faiblesses potentielles du système”.
“En utilisant le prix moyen pondéré par le temps (TWAP), les oracles peuvent aider à empêcher la manipulation des prix. Ce, en calculant la moyenne des prix sur une période spécifique, ce qui complique la tâche aux attaquants. De plus, la mise en place de systèmes multi-oracles peut permettre une redondance informatique et une vérification croisée des données de prix, renforçant davantage les défenses contre la manipulation”, poursuit M. Hetman.
“Avec toutes ces mesures, les attaquants n’auront plus la possibilité de manipuler les prix manipulés lorsque des variations importantes sont détectées. Une fois que la cause de la variation des prix est identifiée et traitée, les échanges peuvent reprendre. Cela doit également inclure les transactions valides qui ne peuvent sembler suspectes que de l’extérieur”.
“Il est également important de ne pas effectuer plusieurs opérations majeures en un seul bloc. Dans la plupart des cas, les flash loans ne peuvent être contractés qu’en une seule transaction et un seul bloc”, a conclu M. Hetman.
Morale de l’histoire : À l’image des autres outils crypto, le flash loan est une arme à double tranchant. À nous de l’utiliser à bon escient.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.