La Finance Décentralisée (DeFi) s’oppose à la finance centralisée (CeFi), caractéristique de la finance dite « traditionnelle ». La DeFi permet à n’importe quel particulier d’avoir accès à des produits plus ou moins risqués qui sont généralement réservés à des professions règlementées : banques d’affaires, fonds d’investissement etc.
La DeFi se caractérise par un certain nombre de spécificités :
- Elle est « permissionless », c’est-à-dire que les utilisateurs n’ont pas besoin de demander son accès à une autorité quelconque.
- Elle est utilisée grâce à la technologie blockchain et reprend toutes ses caractéristiques : pseudonymat, immuable et très souvent basée sur l’utilisation d’algorithmes.
- Elle comporte de nombreux risques.
Ces risques sont de natures diverses et nécessitent d’être rigoureux dans la gestion de vos fonds.
Le risque du « Honey Pot »
Ce que la communauté crypto appelle un « honey pot » ou « pot de miel » consiste à se faire aspirer ses fonds à la suite d’une action que vous n’auriez pas dû faire.
Le problème que pose le honey pot, c’est qu’il peut prendre des formes diverses : connexion à une DApp, approbation d’une transaction, faux mint d’un NFT, interaction avec un jeton malveillant, etc.
Pour éviter toute mauvaise surprise, il vous faut impérativement être le plus rigoureux et le plus méfiant possible :
Ne surtout pas interagir avec un jeton inconnu qui est apparu soudainement dans votre wallet, renseignez-vous d’abord sur ledit jeton sur internet et les réseaux sociaux, il y aura souvent eu une victime avant vous, un précédent. Par principe, déplacez vos fonds vers une autre adresse, voire un autre wallet.
Il faut constamment se renseigner sur le projet NFT que vous comptez mint :
- Quelle est la vision, est-ce de l’art volé ?
- Est-ce que le travail est de qualité ?
- Est-ce que le projet a un site ?
- Quelle est la qualité de ce site ?
Comprenez que la majorité des arnaqueurs ne sont pas des artistes et recherchent le profit rapide, il y aura donc des signaux faibles à déceler : le produit est mal fini, de qualité moyenne, voire médiocre, vous disposez de peu d’informations sur la suite du projet, vous obtenez des réponses vagues et fuyantes des administrateurs…
Le risque du « Rug Pull »
Ce risque n’est pas « technique », à savoir que ce n’est pas un problème de code mal développé ou frauduleux. Le Rug Pull signifie « se barrer avec la caisse », c’est-à-dire que le protocole sur lequel vous avez déposé vos fonds est géré par des individus mal intentionnés qui vous ont volé vos fonds.
Il est difficile de le prévoir puisque les seuls responsables sont l’équipe du projet elle-même. Néanmoins, un rug pull peut être identifié via le faisceau d’indices décrit plus haut : peu de moyens investis, etc.
Le risque d’un smart contract défectueux
Le risque du smart contract défectueux est présent dès l’instant où vous interagissez avec la DeFi. Il s’agira d’une erreur dans le code du smart contract utilisé (via une DApp) qui pourrait laisser transparaître une faille de sécurité. Cela aurait pour conséquence la perte de vos fonds due à un bug ou l’exploitation d’une faille.
Les applications interagissant avec les réseaux blockchain mettent généralement en place deux formes de sécurités :
- Le bug bounty ou la « prime au bug » qui récompense les développeurs ayant trouvé des failles de sécurité. Les protocoles misent sur le bon fond des personnes ayant trouvé la faille en les récompensant financièrement pour leur aide. Ces pratiques se sont professionnalisées pour devenir un métier en soi : « white hat ».
- L’audit du code réalisé par des experts du développement de smart contracts. Plus les audits sont nombreux et complets, plus le protocole peut être considéré comme sûr.
Mention honorable à la longévité d’un projet dans le temps : un projet qui dure dans le temps sans jamais avoir été attaqué avec une total value locked (TVL) conséquente est en quelque sorte un bug bounty qui n’a jamais pu être récupéré. Un projet connu jamais attaqué peut être gage de sécurité.
Le risque 0 n’existe pas et le risque d’erreurs persiste même avec les audits les plus sérieux. Notons que ce risque augmente naturellement avec l’utilisation de différents layers ou surcouches sur un même réseau.
Il est donc déconseillé de se surexposer à un seul protocole DeFi, car vous risquez en cas de piratage la perte de l’intégralité de vos fonds et vous ne pourrez pas vous plaindre à votre banquier pour le remboursement.
Le risque de hacking
Un risque qui fait doublon avec celui du smart contract défectueux. Cependant, il ne s’agit pas d’un bug bloquant vos fonds, mais d’une faille de sécurité exploitée par des individus mal intentionnés.
Il est également possible de pirater quelqu’un sans avoir de grandes connaissances en informatique, en prenant le contrôle à distance de l’ordinateur de la victime par exemple. N’utilisez pas des logiciels piratés, il arrive fréquemment que des gens se retrouvent avec un wallet vide après avoir tenté de « cracker » un jeu ou un logiciel de montage vidéo ou photo.
Le risque de la connexion frauduleuse
Les registres distribués comme ceux de la blockchain sont des registres en ligne et publics. Le contenu de vos wallets est donc visible par n’importe qui. Seuls le pseudonymat de votre adresse, clé privée et mot de passe de votre wallet se dressent contre les vols.
Pour éviter qu’une personne malveillante ne vous soutire vos fonds, il vous faut impérativement un hardware wallet comme Ledger, qui aura pour effet d'empêcher l’approbation de transactions lorsque celui-ci est déconnecté. Ainsi, même si votre ordinateur se fait hacker, il sera impossible pour un voleur de déplacer vos fonds.
Guide : bien sécuriser vos crypto monnaies et éviter les piratages
Quelques conseils de base
Cette liste est non exhaustive, c’est pourquoi il faut impérativement que vous ailliez en tête un certain nombre d’astuces :
- Protégez vos fonds avec un hardware wallet.
- Soyez méfiants envers tout projet.
- Faites impérativement vos propres recherches AVANT de vous connecter au site
- Votre première connexion à une nouvelle DApp doit se faire avec une adresse vierge avec très peu de fonds dessus
- Ne faites confiance en personne sur les réseaux sociaux (Twitter, Discord, etc).
- Les administrateurs d’un projet ne viendront JAMAIS vous envoyer un DM de leur propre initiative.
- Ayez conscience que le risque 0 n’existe pas, surtout en matière de DeFi, et investissez uniquement ce que vous êtes prêt à perdre.
Par ailleurs, soyez vigilants à l’encontre de sociétés spécialisées dans la vérification de projets, celles-ci ne sont pas infaillibles !
Ci-dessous un post dénonçant une société ayant validé une collection NFT qui s’est révélé être un honey pot au moment d’approuver le mint.
Stay Safu !