Divulgation :<\/strong> Les points de vue et opinions exprim\u00e9s ici appartiennent uniquement \u00e0 l’auteur et ne repr\u00e9sentent pas ceux de l’\u00e9dition de crypto.news.<\/p>\n La DeFi est sous attaque, mais pas par les menaces conventionnelles auxquelles l\u2019industrie s\u2019efforce de r\u00e9pondre. Alors que les d\u00e9veloppeurs examinent minutieusement chaque ligne de code \u00e0 la recherche de vuln\u00e9rabilit\u00e9s, les attaquants ont chang\u00e9 de tactique, exploitant les faiblesses \u00e9conomiques<\/strong> souvent inaper\u00e7ues dans un code par ailleurs impeccable. L’exemple de l’exploit du token JELLY sur Hyperledger, qui a permis aux attaquants de siphonner plus de 6 millions de dollars du fonds d’assurance d’Hyperledger, illustre parfaitement cette situation. Cet exploit n\u2019a pas \u00e9t\u00e9 caus\u00e9 par des erreurs de code, mais par des incitations manipulables<\/strong> et des risques non \u00e9valu\u00e9s.<\/p>\n La cybers\u00e9curit\u00e9 dans la DeFi a fait des progr\u00e8s consid\u00e9rables. Les audits de contrats intelligents, con\u00e7us pour d\u00e9tecter les bugs dans un logiciel, sont d\u00e9sormais la norme. Cependant, il est urgent d’\u00e9largir leur port\u00e9e au-del\u00e0 des simples lignes de code. Les audits de contrats intelligents<\/strong> sont fondamentalement insuffisants s’ils ne prennent pas \u00e9galement en compte les risques \u00e9conomiques<\/strong> et les dynamiques de jeu pr\u00e9sentes. La d\u00e9pendance excessive de l\u2019industrie \u00e0 des audits se concentrant uniquement sur le code est d\u00e9pass\u00e9e et dangereuse, laissant les projets vuln\u00e9rables \u00e0 un cycle interminable d\u2019attaques.<\/p>\n En mars 2025, la bourse Hyperliquid, bien que ses contrats aient \u00e9t\u00e9 audit\u00e9s, a subi un exploit de 6 millions de dollars impliquant son token JELLY. Comment cela a-t-il pu se produire ? Les attaquants n\u2019ont pas trouv\u00e9 de bug dans le code ; ils ont manipul\u00e9 la logique de liquidation d\u2019Hyperliquid, g\u00e9n\u00e9rant une hausse du prix de JELLY en jouant sur les param\u00e8tres de risque<\/strong> de la plateforme. En d’autres termes, les concepteurs d\u2019Hyperliquid n\u2019avaient pas int\u00e9gr\u00e9 certains comportements de march\u00e9\u2014une n\u00e9gligence que les audits traditionnels n’ont pas identifi\u00e9.<\/p>\n L\u2019incident d\u2019Hyperliquid d\u00e9montre qu\u2019un code impeccable ne peut pas sauver un projet reposant sur des hypoth\u00e8ses \u00e9conomiques fragiles. Peu avant l\u2019incident JELLY, Polter Finance, un protocole de pr\u00eat sur Fantom, a \u00e9t\u00e9 vid\u00e9 de 12 millions de dollars lors d’une attaque par pr\u00eat flash, un autre type d’attaque courant bas\u00e9 sur des m\u00e9canismes \u00e9conomiques, et non sur des vuln\u00e9rabilit\u00e9s de codage. <\/p>\n L’attaquant a contract\u00e9 des pr\u00eats flash et manipul\u00e9 l’oracle des prix du projet, trompant le syst\u00e8me en faisant traiter des garanties sans valeur comme si elles valaient des millions.<\/p><\/blockquote>\n Le code a fonctionn\u00e9 exactement comme pr\u00e9vu, mais le design \u00e9tait d\u00e9faillant, permettant un mouvement extr\u00eame des prix ayant conduit \u00e0 la faillite de la plateforme.<\/p>\n Ces incidents ne sont pas des \u00e9v\u00e9nements isol\u00e9s ; ils font partie d’un sch\u00e9ma de plus en plus fr\u00e9quent dans la DeFi. Cas apr\u00e8s cas, des adversaires ing\u00e9nieux exploitent les protocoles en manipulant des entr\u00e9es de march\u00e9<\/strong>, des incitations ou des m\u00e9canismes de gouvernance pour obtenir des r\u00e9sultats que les d\u00e9veloppeurs n\u2019avaient pas anticip\u00e9s. Nous avons observ\u00e9 des fermes de rendement mises \u00e0 mal par des failles de r\u00e9compense, des parit\u00e9s de stablecoins attaqu\u00e9es par des mouvements de march\u00e9 coordonn\u00e9s, et des fonds d’assurance drain\u00e9s par une volatilit\u00e9 extr\u00eame.<\/p>\n Alors que la plupart des \u00e9quipes Web3 sont compos\u00e9es d\u2019ing\u00e9nieurs capables d’identifier des bugs logiciels lors du d\u00e9veloppement, peu disposent d’une expertise \u00e9conomique interne. Il devient donc crucial que les audits comblent cette lacune en identifiant les vuln\u00e9rabilit\u00e9s dans le design des incitations<\/strong> et la logique \u00e9conomique. Les audits rigoureux inclus des analyses th\u00e9oriques du jeu<\/strong> et \u00e9conomiques impliquent d’examiner des \u00e9l\u00e9ments comme les m\u00e9canismes de frais, les formules de liquidation, les param\u00e8tres de garantie et les processus de gouvernance.<\/p>\n Par exemple, lors d’un audit r\u00e9alis\u00e9 par Oak Security, nous avons d\u00e9couvert qu\u2019un fonds d\u2019assurance d’une plateforme de swaps perp\u00e9tuels pouvait \u00eatre compl\u00e8tement drain\u00e9 par la volatilit\u00e9, car il n’avait pas pris en compte le \u00ab risque de vega \u00bb<\/strong>\u2014la sensibilit\u00e9 du protocole \u00e0 la volatilit\u00e9\u2014dans son mod\u00e8le de prix. Cette faille aurait pu provoquer un effondrement en p\u00e9riode de turbulences sur le march\u00e9. Seule une investigation th\u00e9orique du jeu et \u00e9conomique a permis d’identifier cette question.<\/p>\n Ces exploits \u00e9conomiques sont bien document\u00e9s et relativement faciles \u00e0 d\u00e9tecter, mais ils ne se manifestent que lorsque les auditeurs posent les bonnes questions et r\u00e9fl\u00e9chissent au-del\u00e0 du code. Les fondateurs de protocoles doivent exiger que les auditeurs examinent tous les composants d\u2019un syst\u00e8me de trading, y compris la logique implicite et les \u00e9l\u00e9ments hors cha\u00eene, afin de garantir une s\u00e9curit\u00e9 compl\u00e8te<\/strong>.<\/p>\n Dans le meilleur des cas, toute la logique critique de la mission devrait \u00eatre int\u00e9gr\u00e9e en cha\u00eene. Si vous \u00eates un fondateur ou un investisseur, il est imp\u00e9ratif de demander \u00e0 vos auditeurs : Qu\u2019en est-il de la manipulation des oracles ? Qu\u2019en est-il des sc\u00e9narios de crise de liquidit\u00e9 ? Avez-vous analys\u00e9 la tokenomics \u00e0 la recherche de vecteurs d\u2019attaque ?<\/em> Si les r\u00e9ponses sont le silence ou des gestes d\u00e9sinvoltes, il est temps d’approfondir les investigations. Le co\u00fbt de ces angles morts est tout simplement trop \u00e9lev\u00e9\u2014incorporer une analyse \u00e9conomique et th\u00e9orique du jeu n\u2019est pas un simple \u00ab plus \u00bb ; c\u2019est une question de survie pour les projets DeFi.<\/p>\n Nous devons d\u00e9velopper une culture o\u00f9 la r\u00e9vision du code et la r\u00e9vision \u00e9conomique avancent main dans la main pour chaque protocole majeur. \u00c9levons la barre d\u00e8s maintenant\u2014avant qu’une nouvelle le\u00e7on \u00e0 plusieurs millions de dollars ne nous oblige \u00e0 agir.<\/p>\n Jan Philipp Fritsche<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Introduction Divulgation : Les points de vue et opinions exprim\u00e9s ici appartiennent uniquement \u00e0 l’auteur et ne repr\u00e9sentent pas ceux de l’\u00e9dition de crypto.news. Une nouvelle menace pour la DeFi La DeFi est sous attaque, mais pas par les menaces conventionnelles auxquelles l\u2019industrie s\u2019efforce de r\u00e9pondre. Alors que les d\u00e9veloppeurs examinent minutieusement chaque ligne de code \u00e0 la recherche de vuln\u00e9rabilit\u00e9s, les attaquants ont chang\u00e9 de tactique, exploitant les faiblesses \u00e9conomiques souvent inaper\u00e7ues dans un code par ailleurs impeccable. L’exemple de l’exploit du token JELLY sur Hyperledger, qui a permis aux attaquants de siphonner plus de 6 millions de dollars<\/p>\n","protected":false},"author":3,"featured_media":5328,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[12,65,337],"class_list":["post-5329","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-defi","tag-hack","tag-hyperliquid"],"yoast_description":"D\u00e9couvrez la menace croissante pesant sur les protocoles DeFi en raison des vuln\u00e9rabilit\u00e9s \u00e9conomiques, soulignant la n\u00e9cessit\u00e9 d'audits complets au-del\u00e0 de l'analyse du code.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/5329","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=5329"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/5329\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/5328"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=5329"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=5329"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=5329"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Une nouvelle menace pour la DeFi<\/h2>\n
Les limites des audits<\/h2>\n
L’impact des failles \u00e9conomiques<\/h2>\n
Un sch\u00e9ma de plus en plus fr\u00e9quent<\/h2>\n
Vers des audits plus complets<\/h2>\n
Conclusion<\/h2>\n