Le nombre de cyberattaques et de pertes récentes sur les plateformes de financement décentralisées (DeFi) a amené l’auteur John Mardlin à expliquer comment les utilisateurs peuvent garantir la sécurité de ces plateformes.

Mardlin, ingénieur en sécurité et membre fondateur de ConsenSys Diligence, a récemment publié un article déclarant que bien que des bogues ou des erreurs de programmation soient inévitables, d’autres mesures peuvent être prises pour empêcher que ces vulnérabilités ne soient exploitées par des pirates. Il précise ainsi que, bien qu’il soit nécessaire de réaliser des audits spécialisés, il est essentiel que les utilisateurs eux-mêmes appuient sur afin que les protocoles de sécurité soient complets.

Avec cette prémisse, Mardlin a énuméré une série de questions que les utilisateurs peuvent poser aux développeurs pour vérifier ces aspects de sécurité. Il ajoute également que bien que certaines équipes de développement ou programmeurs indépendants ne disposent pas des ressources nécessaires pour couvrir tous les niveaux de sécurité, il est important pour l’utilisateur de décider “avec quel niveau de risque il est à l’aise”.

Tout d’abord, il explique que la plupart des protocoles ont certains niveaux de contrôle, centralisés dans la figure d’un “administrateur”, ce qui nécessite la confiance des utilisateurs dans cette figure. Il ajoute qu’il faut également tenir compte du fait que, dans ces cas, un pirate pourrait obtenir les clés privées et accéder à ces privilèges administratifs du réseau; une situation dangereuse si ces données ne sont pas correctement protégées.

En ce sens, il mentionne une liste de questions auxquelles les plateformes doivent répondre, qui comprennent des questions telles que: combien de personnes sont des administrateurs? Quelles actions spéciales ou préventives peuvent-elles prendre? Peuvent-elles arrêter le système? Peuvent-elles modifier les soldes et autres données arbitrairement? Est-il possible de créer des listes noires en opposant son veto aux utilisateurs ou aux jetons?

Un aspect à considérer concerne la dépendance du système vis-à-vis d’entités externes. Beaucoup de ces plateformes utiliser des contrats intelligents conçus par des tiers, il vaut donc la peine de leur demander s’ils sont sûrs de son bon fonctionnement. “L’écosystème Ethereum est plein d’adversaires, donc les développeurs ne devraient généralement pas tenir pour acquis le comportement des contrats sur d’autres systèmes”, explique Mardlin.

Un autre problème de sécurité à évaluer est de savoir si l’entreprise propose des programmes de récompense aux pirates pour les améliorations proposées ou les failles détectées sur ces plateformes. Avec cela, il devient plus attrayant de signaler des bogues pour votre solution, que d’en tirer un parti malveillant.

“Toute entreprise disposant du protocole DeFi, qui gère l’argent des gens, devrait avoir un programme de récompenses«, Exprime l’auteur, indiquant qu’il est nécessaire de se renseigner sur la disponibilité des codes sources des contrats. Il devrait être facile de trouver un support technique et de sécurité, à la fois sur le site Web et dans certains référentiels.

Les plateformes devraient également avoir un plan de réponse aux incidents de sécurité. Vous devez savoir si un plan d’urgence a été rédigé et dans quels scénarios il s’applique; Et si le système est évolutif, quelles sont les étapes à suivre? Il s’agit notamment d’évaluer si la détection d’une vulnérabilité serait acceptable pour attaquer ou non, pour protéger les fonds, et quel serait le protocole d’audit.

Dans ce dernier aspect, l’auteur souligne que tout ce qui concerne les audits effectués doit être demandé. À quand remonte la dernière fois que cela a été fait? Combien d’efforts en heures et en personnes ont-ils exigé? Quels cabinets ont effectué l’audit? D’autres outils sont-ils utilisés?

Il est vital pour Mardlin de tenir la communauté informée via Twitter, Telegram, Discord et d’autres moyens d’interaction sociale. En ce sens, même si un incident se produit et que vous ne voulez pas donner tous les détails, recommande d’offrir des informations de base et de garder la communauté calme.

Compte tenu des récentes attaques que DeFi a subies ces derniers mois, avec des millions de pertes pour les utilisateurs, tous les points mentionnés sont d’une importance vitale. Cet écosystème est en pleine croissance, après qu’il a été rapporté en février dernier qu’Ethereum DeFi disposait déjà d’une réserve de 1 milliard de dollars.