Comment les auditeurs détectent une arnaque DeFi Rug Pull : pouvez-vous le faire vous-même ?

Les pirates ont volé plus de crypto-monnaie sur les plates-formes de financement décentralisé (DeFi) que jamais auparavant en 2022. Près de 98 % de tous les jetons lancés sur le porte-drapeau de DeFi, DEX Uniswap, ont été identifiés comme des tractions de tapis.

Le dernier en date, Defrost Finance, venu comme un cauchemar de Noël pour les investisseurs en crypto, effaçant 12 millions de dollars de leur argent. 

La plupart des piratages sur les plates-formes DeFi se produisent par des failles de sécurité et des exploits de code. Projects that end up being rug pull scams have serious security issues that have been allowed to slide, or maybe, undetected on purpose. To prevent similar risks, DeFi security audits are critical.

Here we’ll find out more about these audits, how they are conducted, and whether it is possible to run a DeFi audit by yourself. 

DeFi projects are implemented as complex, self-executing smart contracts, often transparent and open-source. They act as legal agreements between two parties. And since no centralized entity is behind them, even a small bug in smart contracts might lead to irreversible consequences.

Cela signifie qu'il ne devrait pas y avoir de place pour les erreurs dans les contrats intelligents. Les audits de sécurité des contrats intelligents DeFi sont destinés à garantir cela.

Security audits examine the code of smart contracts and how it grounds contracts’ terms and conditions. The detailed analysis searches for potential security flaws, violations, and system bugs in the code, so it cannot be exploited. 

Security audits, usually conducted by third parties, are vital to ensuring the security and credibility of projects and maintaining a healthy DeFi ecosystem.

A rug pull is a type of exit scam that operates in a simple model: developers create a legit-looking DeFi protocol, run and promote it until the project attracts enough liquidity, then pull out the funds and disappear. 

Well, not always. Occasionally, rug-pull scammers blame hackers for stealing liquidity and stay in business until the next time.

Pour mettre en œuvre une attaque, les escrocs intègrent un code malveillant dans les contrats intelligents. Ils les modifient pour empêcher les investisseurs de vendre : fixez les frais de vente maximum (100 %), mettez les propriétaires de jetons sur liste noire et verrouillez l'argent des utilisateurs dans un contrat.

Certains contrats intelligents impliquent d'y coder une "porte dérobée" malveillante, ce qui permet aux développeurs de retirer la liquidité.  

La plupart du temps, les contrats intelligents modifiés ne sont pas vérifiés par des auditeurs de sécurité et sont cachés aux yeux du public. Étant donné que la plupart des contrats en chaîne sont accessibles au public, un manque de transparence sur GitHub pourrait être un drapeau rouge. 

L'industrie de la blockchain et des contrats intelligents est encore relativement jeune, tout comme le secteur de l'audit des contrats intelligents. De nombreux cabinets se spécialisent dans les audits de sécurité des contrats intelligents, développent leurs outils et façonnent leur savoir-faire. 

Les normes et les meilleures pratiques de l'industrie de la sécurité des contrats intelligents évoluent. Malgré cela, certaines méthodes d'audit assez standard sont utilisées par les acteurs de l'industrie de l'audit DeFi.

En règle générale, leurs enquêtes commencent par l'évaluation du contrat intelligent. L'auditeur analyse le livre blanc, la logique métier et les spécifications techniques du protocole DeFi pour estimer les risques potentiels et les fonctionnalités de sécurité.

Ensuite, ils portent leur attention sur le code du contrat intelligent. C'est à ce moment que la révision et l'analyse du code commencent. 

Auditors inspect code line by line, looking for vulnerabilities of different levels: critical ones that can result in a liquidity leak; medium-level, which could partially damage the smart contract; and low-level issues, which affect the contract’s security the least.

Ils déploient un certain nombre de techniques d'audit, y compris l'analyse automatisée et manuelle. Ils ont tous deux leur pour et contre.

An automated security audit means scanning the code with automated analysis software, which searches for bugs against the database of known vulnerabilities and identifies their precise location in the code.

The software-based audit is typically conducted before the manual analysis to detect errors that humans might overlook. It is faster and less time-consuming, but at the same time, it may not always be aware of the context and thus miss certain vulnerabilities. 

Manual code analysis is king in smart contract auditing and is the most critical part of a comprehensive and accurate smart code security audit. It is conducted by at least two separate experts that inspect the code line by line.

L'objectif est de vérifier que chaque détail de la spécification du projet est implémenté dans le contrat intelligent et que rien ne viole son comportement initialement prévu. 

The auditors scrutinize the code for unintended, unexpected behavior, crucial security issues, and vulnerabilities like re-entrance, data manipulations, flash loans, and other manipulations that might be implemented while the smart contract interacts with others.

In addition to that, manual audits run simulations to evaluate how well the DeFi project’s smart contract responds to unidentified threats and how capable it is of defending itself against them. 

Dans la dernière partie de l'analyse manuelle du code, l'auditeur compare la logique du contrat intelligent avec sa description dans le livre blanc du projet. 

Une fois que toutes les vulnérabilités ont été identifiées et corrigées, les auditeurs exécutent un processus de double vérification pour s'assurer que le code intelligent fonctionne comme prévu.

Enfin, une fois l'audit de sécurité terminé, les auditeurs préparent un rapport complet. C'est là qu'ils fournissent des commentaires détaillés sur ce qu'ils ont découvert. Généralement, leur rapport contient des recommandations sur la manière dont les faiblesses de code détectées peuvent être corrigées pour atténuer la sécurité du projet. 

Smart contracts are a relatively new innovation. Their security standards are evolving accordingly. This means no golden rule guarantees total smart contract safety.

De plus, tous les cabinets d'audit de contrats intelligents ne sont pas identiques et tous les audits ne garantissent pas la sécurité. Les auditeurs peuvent avoir différents niveaux de compétence, différents objectifs et différents coûts.

Not to mention the fact that the market is full of sketchy developers that forge audits and still benefit from the name of a respectable company. This is what happened to Peckshield, a blockchain security and data analytics company, more than a year ago.

Des situations comme celle-ci sont assez courantes dans l'espace des crypto-monnaies. Ils prennent le nom d'un auditeur légitime et respectable et le mettent dans leur livre blanc, en disant que leur protocole a été audité.

The only way to avoid cases like this is to check for confirmation on the auditor’s original channels. If there aren’t any, chances are that the auditor’s name has been stolen. 

Always check its client portfolio to evaluate whether the auditor is solid and reputable. Google the cases to verify their experience records, and check if any of the audited projects have suffered a rug pull or other attacks.

With so many hacks and rug pulls in the crypto space, it’s naive to imagine that DeFi projects are safe without looking into them in more detail. Smart contract audits provide a critical layer of safety. 

However, even the most professional ones do not guarantee that a DeFi project is absolutely bug-free. Smart contracts are complex. They require detailed and comprehensive analysis, expertise, tools, and, most importantly, more than one pair of eyes.