Les contrats intelligents sont du code auto-exécutable sur les blockchains qui ne peut être modifié après déploiement. Cette immuabilité est à la fois leur plus grande force et leur propriété la plus dangereuse : si un contrat a un bug, il n'y a pas de correctif possible. Les audits de sécurité sont le principal mécanisme pour détecter les vulnérabilités avant qu'elles ne coûtent des fonds aux utilisateurs.
Vulnérabilités courantes
Reentrancy — un contrat malveillant appelle récursivement la fonction victime avant la mise à jour du solde. C'est ainsi que The DAO a été piraté en 2016 pour 60 millions de dollars.
Dépassement entier — les opérations arithmétiques dépassent les limites du type de données. Résolu dans Solidity 0.8+ avec des vérifications intégrées.
Manipulation d'oracles de prix — les protocoles utilisant des prix spot d'une source unique peuvent être attaqués via des flash loans.
Vulnérabilités de contrôle d'accès — absence ou implémentation incorrecte des vérifications de droits sur les fonctions critiques.
Attaques flash loan — utilisation d'un prêt instantané non garanti pour manipuler l'état du protocole dans une seule transaction.
Le processus d'audit
Un audit professionnel inclut une analyse manuelle par des experts en sécurité, un scanning automatisé (Slither, MythX), une analyse de la logique métier et des invariants économiques, ainsi que des simulations d'attaque. Firmes leaders : Trail of Bits, OpenZeppelin, Certik, Halborn, Quantstamp.
Limites des audits
Un audit ne garantit pas la sécurité. Des protocoles audités ont perdu des fonds : Euler Finance (197 M$), Nomad Bridge (190 M$), Wormhole (320 M$). Les protocoles sérieux complètent les audits avec des programmes Bug Bounty et une vérification formelle.
Conclusion pratique
Avant d'interagir avec un protocole DeFi, vérifiez l'existence d'un audit public d'une firme reconnue, la date de la dernière mise à jour du code et la présence d'un programme Bug Bounty. L'absence d'audit est un signal d'alarme sérieux.
