Autour du Block #3 : Analyse de l’attaque bZx, vulnérabilités de la DeFi et état des cartes de débit crypto

Analyse de l’attaque bZx et vulnérabilités DeFi

La DeFi (finance décentralisée) bouleverse l’accès aux outils financiers en ligne, en les rendant accessibles, programmables et utilisables par tous. À l’instar d’Internet qui a permis à chacun de créer, partager et programmer de l’information, la DeFi insuffle cette même ouverture à la sphère monétaire et financière.

Les produits DeFi reposent sur l’absence de confiance tierce : les utilisateurs n’ont pas besoin d’intermédiaires. Ils sont mondiaux, transparents (le code est accessible à tous) et immuables (toute modification n’est possible que si elle est prévue). Leur composabilité permet d’empiler et d’intégrer des produits, à la manière de briques Lego formant des structures dont l’ensemble dépasse la somme des parties.

Contexte

Dans ce nouvel environnement, chacun peut concevoir des applications financières. On assiste ainsi à l’émergence d’un réseau puissant et liquide d’outils financiers, propice à l’innovation et à l’utilité. La DeFi, par exemple, a introduit le Flash Loan : un prêt instantané et sans risque, accessible à tous, permettant d’emprunter plusieurs millions de dollars en une transaction unique. Sans remboursement du prêt à la fin de la transaction, l’ensemble de l’opération est annulé. Aucun capital n’est exposé et l’utilisateur peut mobiliser d’importants montants pour tout usage souhaité.

Que s’est-il passé lors des attaques sur bZx ?

BZx (aussi appelé Fulcrum) est une plateforme DeFi dédiée au prêt, à l’emprunt et au trading sur marge de tokens. N’importe qui peut alimenter sa pool et emprunter dessus, ou ouvrir des positions longues/courtes à effet de levier sur d’autres actifs. La plateforme s’appuie sur d’autres protocoles DeFi pour proposer une offre complète, tirant parti de la composabilité de l’écosystème.

L’attaque a reposé sur une transaction unique et particulièrement élaborée : l’attaquant a emprunté plusieurs millions de dollars via un flash loan, puis fait circuler ces fonds entre divers protocoles DeFi pour manipuler et exploiter le pool de collatéraux de bZx. Déroulé :

1. L’attaquant emprunte 10 millions de dollars en ETH via un flash loan auprès d’un protocole de prêt décentralisé (Composant 1), sans dépôt de collatéral.

2. Il utilise 5 millions de dollars en ETH pour ouvrir une position short x5 sur le carnet d’ordres ETH-wBTC sur bZx (Composant 2). BZx transmet l’ordre à un agrégateur de liquidité (Composant 3), qui sélectionne le meilleur tarif et exécute l’ordre sur une bourse décentralisée (Composant 4). Cela engendre un fort slippage, multipliant par trois le prix du wBTC.

3. L’attaquant transfère les 5 millions de dollars restants en ETH vers un autre protocole de prêt (Composant 5) et emprunte du wBTC contre le collatéral ETH.

4. Il vend le wBTC emprunté au prix gonflé sur la bourse décentralisée.

5. Avec les profits de l’étape 4 et les fonds de l’étape 2, il rembourse intégralement le flash loan et clôture la transaction avec succès.

La manœuvre a rapporté un gain direct de 71 ETH, ainsi qu’un prêt actif sur un autre protocole de 1 200 ETH, soit un profit total de 1 271 ETH (355 000 $ à l’époque). La transaction a aussi laissé bZx avec un prêt fortement sous-collatéralisé, d’où la « perte ».

L’attaque s’appuyait sur la possibilité de prendre une position short x5 sur un carnet peu liquide, très vulnérable au slippage. BZx aurait dû être protégé, mais l’attaquant a exploité un bug pour contourner ces contrôles. Cette faille a exposé le pool de collatéraux de bZx à des pertes importantes, tandis que les autres composants ont fonctionné sans problème.

Conséquences et deuxième attaque

Aussitôt après l’attaque, l’équipe bZx a utilisé des super-clés d’administration pour suspendre trading et prêts, corrigeant le bug principal. Alors que la communauté débattait et que les opérations reprenaient, un deuxième incident similaire a eu lieu.

Cette fois, le schéma s’est répété sans nécessiter de contourner les règles de slippage. Un flash loan a été employé pour gonfler artificiellement le prix du Synthetix USD sur une bourse décentralisée à 2 $ (depuis 1 $). L’attaquant a alors déposé du sUSD sur bZx en collatéral à ce prix surévalué, empruntant davantage d’ETH que permis. Il s’est retiré avec les fonds empruntés, laissant bZx avec un prêt déficitaire, et a gagné 2 378 ETH (après remboursement du flash loan), soit 630 000 $ à l’époque.

C’est ici une attaque de type oracle, où la valeur de référence est manipulée. Le flash loan a artificiellement gonflé le prix spot ETH-sUSD sur la bourse décentralisée (l’oracle), utilisé par bZx pour évaluer le collatéral des prêts.

Comment penser la sécurité dans la DeFi ?

La DeFi rend possibles de nouveaux produits financiers puissants, reliés de façon complexe. Ces attaques rappellent que la finance programmable comporte des failles, surtout à mesure que l’innovation avance. Aujourd’hui, les flash loans associés à l’interconnexion des protocoles DeFi ouvrent la voie à de nouvelles formes de vulnérabilité.

Traditionnellement, la découverte d’un nouveau vecteur d’attaque déclenche une série d’exploits similaires. L’écosystème se mobilise et cherche d’autres failles du même type. Il faut s’attendre à d’autres attaques de type oracle ou flash loan. C’est ainsi que la DeFi se renforce progressivement.

Par exemple, après le piratage du DAO révélant les vulnérabilités de réentrance, la communauté a rapidement appris à les prévenir. Désormais, les attaques de réentrance ont quasi disparu. Ce processus est évolutif : chaque faille découverte et corrigée renforce l’écosystème.

La DeFi ne sera jamais totalement sécurisée, mais un écosystème plus robuste peut émerger grâce à la défense en profondeur—multiplication des couches de sécurité. La protection des utilisateurs et des solutions d’assurance doivent suivre. À retenir : un produit d’assurance DeFi DeFi a procédé à sa première indemnisation après les attaques bZx, un signal encourageant.

Et la décentralisation dans la DeFi ?

L’équipe bZx a utilisé des super-clés d’administration pour bloquer prêts et trading, révélant ainsi un point de contrôle unique. Cette action était nécessaire pour stopper l’hémorragie, mais introduit un risque : que se passerait-il en cas d’usage abusif ou de compromission de ces clés ? L’abandon du contrôle unilatéral est au cœur de la philosophie crypto. Quelle approche adopter ?

La décentralisation est graduelle, et les équipes doivent avancer par étapes. Pour les nouveaux services DeFi, viser la décentralisation totale dès le début est irréaliste—cela exposerait à un risque majeur si une faille était découverte sans possibilité d’intervention rapide. Les protocoles doivent donc se décentraliser progressivement, après avoir prouvé leur solidité en matière de sécurité.

À retenir

La DeFi repousse les limites et ouvre la voie à des produits qui dessinent la finance programmable. Le rythme de l’innovation est soutenu, mais les exploits montrent combien elle peut être déstabilisante. Il faut garder une vision globale : d’autres attaques surviendront, ce qui fait partie de l’évolution de la DeFi. À terme, un écosystème plus solide, doté de protections renforcées pour les utilisateurs, devrait émerger.

Panorama des cartes de débit crypto

La « dépense » a toujours constitué un moteur essentiel de l’utilité des cryptos, depuis le white paper Bitcoin publié par Satoshi. Les investisseurs crypto cherchent depuis longtemps comment dépenser leurs actifs—y compris pour des achats du quotidien. Les cartes de débit crypto comblent ce besoin : elles fonctionnent comme les cartes classiques, mais sont adossées à un solde crypto plutôt qu’à un compte bancaire.

Historique

Les premières offres de cartes de débit ont vu le jour avec plusieurs initiatives, dont une carte pionnière lancée sur une grande plateforme. Cette solution inédite permettait de payer en Bitcoin partout où Visa était acceptée. Elle n’était toutefois pas en marque blanche, mais émise par un processeur de paiement.

Sont ensuite apparus BitPay, Bitwala, Wirex et Coinsbank. Lors du boom des ICO, TenX, Token Card (devenue Monolith) et Monaco (devenue crypto.com) sont entrés en lice. TenX a levé 80 millions de dollars en 7 minutes via ICO ; Token Card et Monaco ont levé respectivement 12,7 et 27 millions de dollars, illustrant l’attrait pour ces solutions. Les concurrents misaient principalement sur la réduction des frais, l’amélioration de l’expérience utilisateur et les récompenses.

La difficulté : à l’époque, rares étaient les processeurs de paiement prêts à émettre des cartes crypto—l’un gérait une carte spécifique, l’autre la majorité des autres. L’adoption était aussi freinée. Une carte a rencontré peu d’adeptes, les utilisateurs préférant conserver leur Bitcoin (du fait de sa volatilité et de son profil d’investissement) plutôt que de le dépenser. Aujourd’hui, la maturité de l’écosystème et la montée des stablecoins ouvrent la voie à une adoption plus large des cartes crypto.

Récemment, un processeur a changé de stratégie et de nom, travaillant à lancer une nouvelle carte pour le marché britannique. Pour la plupart des autres, une phase précédente a vu Visa se séparer d’un processeur pour « non-respect de ses règles opérationnelles », provoquant la fermeture des cartes concernées.

À l’avenir, les cartes de débit crypto devraient retrouver un certain dynamisme, en particulier avec l’essor des stablecoins à rendement comme USDC sur certaines plateformes. Un acteur majeur a récemment obtenu le statut de Principal Member Visa, une avancée qui permet d’émettre directement des cartes UE sans sponsor bancaire.

Actualités majeures : analyse des évolutions marquantes

L’upgrade controversée d’Ethereum relance le débat communautaire

Ethereum a récemment été le théâtre de débats intenses sur une évolution du minage : ProgPow (Progressive Proof of Work). L’objectif : permettre l’extraction d’Ethereum avec du matériel grand public en limitant l’avantage des mineurs ASIC (appareils spécialisés et performants qui dominent aujourd’hui).

Implémenter ProgPow rendrait le minage plus accessible, favorisant la décentralisation et renouant avec la vision initiale d’Ethereum, résistante aux ASIC.

La controverse : ProgPow réduirait la puissance de calcul totale (les GPU étant moins performants que les ASIC), rendant le réseau plus exposé à des attaques à 51 %. Aucun algorithme de minage n’est totalement ASIC-resistant : à terme, des ASIC ciblant ProgPow seraient créés. Beaucoup estiment que les ASIC garantissent la sécurité des réseaux PoW—aucun réseau basé sur ASIC n’a subi d’attaque à 51 %.

Tout fork conflictuel doit être géré avec discernement. Les enjeux actuels sont majeurs, notamment avec la présence d’actifs DeFi comme USDC et USDT sur Ethereum, ce qui pourrait compliquer la gestion de forks divisifs.

Malgré une histoire longue, ProgPow a été validé puis programmé pour déploiement. Toutefois, la réaction de la communauté a conduit à son abandon.

Tron accusé de « prise de contrôle hostile » de la blockchain Steem

Steemit—la plateforme sociale inspirée de Reddit—a annoncé son partenariat pour migrer vers la blockchain Tron. La communauté Steem a redouté une mainmise excessive de la Fondation Tron sur la gouvernance et a réagi par un soft fork désactivant les droits de vote de Tron.

Tron a riposté en s’alliant avec des plateformes d’échange majeures, dont l’une de premier plan, pour coordonner un hard fork rétablissant ses droits de gouvernance et gelant les tokens des membres Steem actifs dans la gouvernance. Pour la communauté Steem, il s’agit d’une prise de contrôle hostile.

Steem fonctionne sur un modèle Delegated Proof of Stake, rendant le soutien des plateformes d’échange crucial pour obtenir la majorité des votes. Le dirigeant d’une grande plateforme a reconnu avoir validé le hard fork, tout en affirmant ignorer la polémique puis en critiquant Tron pour son manque d’intégrité.

L’épisode illustre la complexité de la gouvernance blockchain. Sur les chaînes dPoS, la majorité prévaut : Tron n’a fait qu’utiliser les règles du jeu. Mais la valeur ultime appartient aux utilisateurs, détenteurs du pouvoir économique. La communauté Steem contre-attaque en désactivant des applications, en quittant la fondation et en soutenant des validateurs de référence.

Le rôle des plateformes d’échange et des dépositaires dans la gouvernance blockchain s’affirme. Détenant la majorité des actifs, ils exercent un pouvoir politique réel. À mesure que le secteur se structure, il faut s’attendre à voir les plateformes centralisées proposer des outils de gouvernance.

Points clés des actualités majeures

Les blockchains sont des technologies de rupture—mais elles restent avant tout de vastes expérimentations informatiques collectives. Elles n’appartiennent à personne, mais à la communauté. Ces épisodes sont des tests cruciaux pour la gouvernance. Ethereum et Steem posent des jalons importants. L’attention de tous s’impose.

FAQ

Qu’est-ce que l’attaque flash loan sur bZx ? Comment les attaquants ont-ils exploité les failles DeFi ?

L’attaque bZx a exploité des flash loans pour manipuler les prix Uniswap, permettant des shorts à effet de levier et de l’arbitrage. Les attaquants ont gagné environ 360 000 $ en ciblant les oracles de prix et l’insuffisance des protections dans les protocoles DeFi.

Quelles sont les failles et les risques courants dans les protocoles DeFi, et comment les prévenir ?

Les protocoles DeFi sont exposés aux attaques de réentrance et à la compromission de clés privées. Les mesures de prévention incluent les meilleures pratiques pour les smart contracts, une réponse automatisée aux incidents et des audits rigoureux en environnement mainnet-like.

Qu’est-ce qu’un flash loan (Flash Loan) et pourquoi sont-ils faciles à détourner ?

Un flash loan en DeFi est un prêt non garanti à rembourser dans la même transaction. Il est vulnérable car il offre un accès à d’importants montants sans collatéral, permettant la manipulation des prix et l’exploitation simultanée de plusieurs protocoles.

Quels sont les principaux acteurs et produits sur le marché des cartes de débit crypto ?

Les principaux acteurs sont BitPay et Revolut. Leurs cartes permettent de payer et de retirer en crypto, offrant des solutions pratiques et sûres pour dépenser ses actifs numériques.

Quels sont les avantages et risques des cartes de débit crypto ?

Avantages : dépenses crypto au quotidien et accès immédiat aux fonds. Risques : volatilité des prix, failles de sécurité, dépendance à des prestataires centralisés.

Quels risques de sécurité pour le liquidity mining et les protocoles de prêt DeFi ?

Risques : bugs dans le code, règles inadaptées, menaces systémiques. Il convient d’effectuer des audits détaillés, de renforcer les contrôles de risque et d’assurer un suivi continu pour contrer manipulation de marché et crise de liquidité.

Comment la sécurité des projets DeFi a-t-elle évolué après l’incident bZx ?

Les protocoles DeFi ont introduit des mises à jour à délai, renforcé les processus d’audit et d’examen, et accru la décentralisation de leur gouvernance pour limiter les risques à l’avenir.

Quelles sont les principales limitations et frais des cartes de débit crypto ?

Les cartes de débit crypto affichent généralement de faibles frais de transaction mais imposent des plafonds journaliers de paiement et de retrait. Les frais varient selon les cartes. Toujours vérifier la liste des crypto-monnaies prises en charge avant utilisation.