L’impact de la blockchain sur la société pourrait être révolutionnaire à de nombreux égards. Pourtant, malgré une forte hausse de sa popularité, l’écosystème de la blockchain et des crypto monnaies fait face à une crise de confiance en raison de problèmes récurrents de sécurité. Pour faire face à cet enjeu, Lossless propose plusieurs outils, dont Aegis, permettant d'atténuer et prévenir les risques.
La sécurité informatique n’est pas une discipline spécifiquement liée à la blockchain. De manière générale, les cyberattaques sont aperçues comme l’un des risques les plus importants du 21e siècle.
Selon un rapport de Cybersecurity Ventures, la cybercriminalité pourrait coûter aux entreprises du monde entier environ 10 500 milliards de dollars par an d'ici à 2025.
En ce sens, Ivan Kwiatkowski, chercheur en cybersécurité, estime qu’il n’y a pas de rupture fondamentale ni de date précise où un évènement aurait provoqué une augmentation brutale des cyberattaques.
Il explique :
« On est juste dans un mouvement sociétal global où le numérique prend de plus en plus de place et où tous les acteurs malveillants augmentent leur présence ».
Dès lors, des solutions sont amenées à voir le jour pour aider les entreprises, mais aussi les particuliers, à diminuer et anticiper le risque d’être confronté à une attaque. Dans le domaine de la blockchain, Lossless s’est spécialisée dans la sécurité des smart contracts notamment en déployant une solution d’anticipation des attaques : Aegis.
Cet article vous est proposé en collaboration commerciale avec Lossless (en savoir plus).
Le besoin de sécurité sur la blockchain
Sur la blockchain, les failles et autres vulnérabilités des smart contracts ont eu pour conséquence de causer une perte de près de 1,2 milliard de dollars pendant le premier semestre de 2022. Dès lors, l’augmentation des investissements en cybersécurité se fait grandement ressentir au sein de l’écosystème.
Concrètement, un double enjeu semble se dessiner à deux niveaux différents. D’un côté, les entreprises doivent prendre conscience de la nécessité de protéger activement leur produit tandis que d’un autre côté, les utilisateurs doivent se protéger d’un secteur complexe d’un point de vue technique.
Il est indispensable de faire un rappel de certains éléments clés avant de rentrer plus en détail dans la proposition de valeur de Lossless et de leur produit Aegis. La création de valeur au travers de la blockchain se concrétise par l’apparition des crypto monnaies et de leur utilisation au travers des smart contracts.
Ainsi, lorsque vous utilisez une application décentralisée (dApps), vous naviguez dans l’univers de la blockchain grâce aux smart contracts. Les contrats intelligents peuvent se déployer de multiples façons et ouvrir la voie à une infinité de possibilités. Par exemple, le standard de smart contract ERC-20 permet facilement de créer un token sur la blockchain Ethereum.
Néanmoins, l’utilisation des dApps et des smart contracts confronte les utilisateurs au risque que le code permettant de les déployer ait une faille de sécurité. Ainsi, dans le cas d’une utilisation malveillante de la vulnérabilité d’un smart contract, c’est tous les utilisateurs l’utilisant qui sont mis à risque.
Qu’est-ce que Lossless ?
Ayant vu le jour en 2021, Lossless souhaite s’interposer entre le smart contract et l’acteur malveillant afin de protéger au maximum les fonds des utilisateurs de crypto monnaies. Dans un premier temps, le projet de l’entreprise était de déployer un protocole au-dessus des smart contracts permettant de sécuriser en temps réel leur exécution.
Lossless a repéré plusieurs types d’attaque différente sur la blockchain parmi lesquelles les flashloans, les hacks d’exchanges, les hacks de portefeuilles ou encore les rug-pulls. Lorsque l’une de ces attaques se concrétise, les utilisateurs sont confrontés à de lourdes pertes, mais Lossless a déjà prouvé être en mesure de lutter efficacement contre les hackers.
Ainsi, en octobre 2021, Lossless a aidé les équipes de Cream Finance à récupérer 16,7 millions de dollars après le hack de leur projet. En juin 2022, lors du hack de bridge Horizon, Lossless a également été salvateur en permettant de protéger 78 millions de tokens $AAG.
Mais quels sont les différents produits mis à disposition par Lossless par le biais de son protocole ?
L’extension du standard ERC-20 par Lossless
Le protocole Lossless peut agir sur les hacks grâce à l’implémentation de son protocole au sein même du smart contract déployé avec le token. Ainsi, Lossless est en mesure de geler toute transaction frauduleuse dès lors que son protocole a identifié une fraude.
Pour faciliter l’intégration du protocole Lossless, les équipes de l’entreprise ont déployé plusieurs outils distincts pour accompagner les développeurs.
D’abord, Lossless offre l’opportunité aux développeurs de déployer leur token en se basant sur une extension du standard ERC-20 appelée LERC20. Concrètement, il possède les mêmes caractéristiques et la même interface qu’un token ERC-20, mais il permet d’apporter des méthodes et des variables supplémentaires afin d’augmenter la sécurité du token.
Actuellement en cours de développement, Lossless devrait bientôt proposer aux émetteurs d’un token ERC20 de bénéficier de la sécurité des outils Lossless grâce aux Wrapped Tokens. Concrètement, il s’agira de déposer les tokens ERC-20 dans un smart contract afin de miner des versions wrapped de ces derniers. Ainsi, même si le token ERC-20 originel ne recevait pas la protection des outils Lossless, il pourra désormais en bénéficier grâce à la version wrapped du token.
La protection des tokens grâce aux outils de Lossless
En parallèle du standard LERC20, Lossless a déployé un outil appelé « Vault and Treasury Protection » qui permet aux émetteurs d’un token LERC20 d’intégrer des smart contracts à leur token pour ajouter des paramètres spécifiques comme notamment la protection de sa trésorerie.
L'outil « Lossless Hack Mitigation Protocol » permet de fournir une couche de sécurité supplémentaire permettant d’empêcher les mouvements frauduleux de jetons, mais surtout de pouvoir les récupérer en cas de subtilisation illégitime.
En revanche, l’une des grandes limites du protocole Lossless est l’obligation pour les développeurs de l’implémenter dans le smart contract de leur token. Ainsi, les projets préexistants au protocole Lossless ont des difficultés à l’intégrer et les projets en préparation peuvent parfois refuser de l’intégrer.
En conséquence, Lossless a dévoilé un outil indépendant des produits susmentionnés : Aegis.
Aegis : l’outil de sécurité phare de Lossless
En complément de son protocole, Lossless a développé Aegis afin d’aider les entreprises à anticiper les risques de sécurité sur leur protocole. Concrètement, il s’agit d’un outil analytique permettant de détecter des activités suspectes sur la blockchain.
La réflexion sous-jacente au développement d’Aegis s’explique par la conviction farouche de ses créateurs que l’un des grands maux de l’écosystème de la blockchain et des crypto monnaies est l’absence d’anticipation des risques et surtout la lenteur des protocoles pour réagir face à une attaque.
Dès lors, Aegis est conçu pour apporter l’information en temps réel aux utilisateurs afin de leur permettre de protéger efficacement les fonds de leurs utilisateurs, mais également de leur trésorerie. Orienté pour les entreprises, cet outil peut malgré tout être utilisé par les particuliers.
Comment fonctionne Aegis ?
Aegis est une solution permettant d’automatiser l’analyse des transactions se déroulant sur la blockchain. Autonome et ne nécessitant aucune configuration supplémentaire que le partage de l’adresse à surveiller, Aegis se transforme en véritable compagnon de sécurité pour les utilisateurs.
Concrètement, lorsqu’il se connecte à son compte Aegis, l’utilisateur peut indiquer des adresses à surveiller. La plateforme prendra en charge les adresses indiquées et analysera toutes les transactions qui seront effectuées en passant par les adresses.
D’ailleurs, Aegis supporte d’ores et déjà 6 blockchains différentes : ETH, BNB, MATIC, FTM, ONE et LAVA.
Dès lors qu’une activité suspecte est repérée par Aegis, la plateforme envoie une alerte à l’utilisateur sur le canal déterminé par ce dernier. Il peut s’agir d’un message sur Slack, par email, par SMS ou par Telegram.
Lossless met à disposition de ses utilisateurs deux versions différentes de son outil : gratuite et payante. La version payante permet notamment d’accéder à la fonctionnalité de backtesting que l’on abordera plus loin dans cet article.
Les différents niveaux de gravité
En matière de cybersécurité, tous les évènements ne se valent pas en matière de risque. Dès lors, pour éviter que son outil ne soit trop anxiogène pour les utilisateurs, Aegis est en mesure d’envoyer des alertes en incluant les niveaux de gravité de ces dernières :
- Faible : Une transaction suspecte liée à l’adresse surveillée a été repérée. Il est conseillé de l’examiner
- Moyen : Une transaction suspecte liée à l’adresse surveillée a été repérée. Il est vivement recommandé de l’examiner
- Élevé : Une transaction suspecte liée à l’adresse surveillée a été repérée. Il faut absolument l’examiner dans les plus brefs délais
- Critique : Une adresse surveillée est utilisée par une adresse qui a été impliquée dans un incident précédemment confirmé. Il faut absolument prendre des mesures adéquates dans les plus brefs délais
Les différents avertissements
Aegis offre une grande personnalisation de son outil à ses utilisateurs. Ainsi, grâce à une grande flexibilité dans la construction de son produit, Aegis est en mesure de prévenir ses utilisateurs de nombreuses menaces différentes.
Parmi ces avertissements, on retrouve notamment différents avertissements liés au changement d’état d’un smart contract comme un contrat mis à niveau, un contrat mis en pause, un rôle d’accès accordé ou encore un changement d’administrateur du contrat.
Aegis analyse également l’interaction des adresses surveillées avec l’écosystème de la blockchain. Ainsi, Aegis peut envoyer des avertissements liés à un flashloan détecté dans la même transaction que l’adresse surveillée, l’interaction d’une adresse suspecte à la fois avec Tornado Cash et avec l’adresse surveillée ou encore la présence d’une adresse suspecte identifiée dans la même transaction que l’adresse surveillée.
Bien qu’il y ait la possibilité d’obtenir des informations sur tous ces évènements, les utilisateurs sont en mesure de personnaliser les évènements à surveiller afin de récoler seulement certaines informations précises.
D’ailleurs, en matière de personnalisation, il est possible de configurer un seuil de TVL à ne pas franchir et d’être alerté si ce dernier est dépassé.
L’analyse rétroactive des transactions avec Aegis
Lorsqu’un utilisateur indique une adresse à surveiller, Aegis commence à analyser les transactions sur la blockchain à partir du moment de l’ajout de cette dernière à la liste de surveillance. Néanmoins, il est parfois très utile de pouvoir se faire une idée du comportement passé d’une adresse en particulier.
Aegis est en mesure de réaliser un « backtesting » d’une adresse afin d’identifier des incidents dans le passé. Néanmoins, une limite existe dans l’utilisation de cette fonctionnalité puisqu’il est seulement possible de réaliser un backtesting sur une période de 24h au maximum.
Note : cette fonctionnalité n’est pas disponible pour les utilisateurs utilisant la version gratuite d’Aegis.
Les espaces de travail sur Aegis
Dans le monde de la blockchain, la coopération des parties peut être d’une grande utilité dès lors que l’on évoque la cybersécurité.
Aegis propose à ses utilisateurs de créer des espaces de travail collaboratif. Ainsi, il est possible pour plusieurs utilisateurs différents d’accéder à un tableau de bord commun pour analyser une liste d’adresses.
Il est également possible de déterminer les rôles des utilisateurs présents dans l’espace de travail afin de moduler les droits de ces derniers. Les rôles sont les suivants :
- Super Admin : Aucune limite à ce qu’il peut lire, écrire et peut gérer les membres de l’équipe
- Billing Admin : Il peut lire et écrire des données dans le cadre de l’équipe et gérer la facturation
- Admin : Il peut lire et écrire des données dans le périmètre de l’équipe, mais il ne peut pas gérer la facturation
- Viewer : Il peut que consulter les données, mais ne peut pas les modifier
La modification des données est notamment particulièrement utile puisqu’il est possible d’interagir avec un contrat que l’on souhaite surveiller. En effet, un bouton « Interact with contract » permet à un utilisateur de lire et d’écrire des données à partir d’un smart contract.
À noter que dans la version gratuite d’Aegis, il est possible de créer seulement un seul espace de travail collaboratif.
La roadmap de Lossless et Aegis
Aegis est un produit en constante évolution. Dès lors, de nombreuses fonctionnalités seront ajoutées dans le futur par l’entreprise. Alors que l’analyse des transactions inscrites sur la blockchain permet de repérer très rapidement des activités suspicieuses, les équipes d’Aegis souhaitent pousser encore plus loin l’anticipation des attaques.
Grâce à la fonctionnalité « Mempool Monitoring », les utilisateurs d’Aegis auront la possibilité de surveiller les transactions en attente sur Ethereum. Ainsi, l’outil pourra détecter des comportements anormaux sur la blockchain en surveillant le mempool afin de notifier l’utilisateur en cas de transactions suspectes avant même que ces dernières ne soient minées sur la blockchain.
Conclusion
La cybersécurité est un enjeu mondial. La popularisation de la finance décentralisée implique une grande responsabilité pour les développeurs de dApps et de protocole DeFi. Bien qu’il y ait de nombreux effets positifs à la démocratisation de ce nouveau modèle économique, certaines particularités de la blockchain engendrent des risques de vulnérabilité assez élevés.
Dès lors, il est essentiel d’avoir recours à des services permettant de limiter les risques. Lossless participe à la sécurisation de la blockchain et des crypto monnaies en mettant à disposition de ses utilisateurs de nombreux outils permettant de lutter efficacement contre les acteurs malveillants.
Alors que le protocole Lossless connaît des difficultés à réellement se généraliser en raison de la nécessité d’utiliser le standard LERC-20, l’outil Aegis apparaît comme une solution particulièrement intéressante en se spécialisant dans l’anticipation des attaques grâce à des outils d’analyse multiples.
