Suite au Hack de Binance du 8 mai, on peut voir un peu partout conseiller d'utiliser un DEX afin de trader en toute sécurité. Est-ce bien le cas ?

Comme je l'ai expliqué, il existe de nombreux types d'échanges décentralisés. Certains imposent que vous deviez déposer vos cryptos sur un smartcontract (IDEX, Switcheo, Ethfinex...) et d'autres permettent le trading directement depuis votre wallet (Kyber, Uniswap...). Les risques ne sont pas les mêmes.

Quand on utilise un DEX avec dépôt de nos coins, on additionne les risques d'utiliser un wallet personnel aux risques d'utiliser un échange.

Quels sont les risques quand on utilise un exchange ?

L'escroc

L'avantage principal d'un DEX est que l'on limite l'action d'acteurs malhonnêtes. Si on part du principe que Binance à réellement fait le maximum pour sécuriser nos fonds, DEX ou CEX, cela ne changera pas fondamentalement l'issue. Du code informatique, des humains et une même dose d'honnêteté, produiront des résultats similaires en termes de sécurité.

Le piratage

Par définition un smartcontract est du code, du code est écrit par un humain et un humain peut faire des erreurs. Tout code informatique est faillible.

Dû à un bug dans un smartcontract, 500000 ETH sont bloqués, depuis novembre 2017, dans les wallets des utilisateurs de Parity. Un smartcontract peut être piraté ou bloqué par l'action d'un pirate, par une mauvaise manipulation de l'opérateur du DEX, ou les deux.

Le phishing

Même avec un hardware wallet, le risque de phishing est toujours présent. Si vous donnez votre seed à un pirate, il lui sera même plus simple pour voler vos fonds que sur un échange centralisé comme Binance.

Le manque de transparence de l'order book

Ce n'est pas directement un risque de sécurité, mais un order book complètement ouvert évitera la manipulation des cours à votre insu.

LGO à par exemple développé un dashboard de monitoring qui permet prouver sa transparence et sa liquidité.

Les frais cachés

En règle général les DEX ne font pas payer de frais pour retirer vos fonds. Mais la pratique est assez courante de la part des échanges centralisés. En imposant des frais de withdraw élevés, cela vous dissuade de les rapatrier sur votre wallet personnel.

L'Exit Scam

La peur de tout investisseur / spéculateur est le fameux Exit Scam. Il est vrai que devoir faire confiance à un tiers quand l'intérêt de la Blockchain est justement de s'en défaire... En utilisant un DEX, on se prémunit, en général de ce type de risque. Mais il y a des petites spécificités à connaitre.

IDEX

Because IDEX keys are the only ones authorized to submit withdrawal  transactions, we’ve included an escape hatch that allows users to  withdraw directly from the contract after a certain period of  inactivity. This ensures that even if the IDEX servers are unavailable  that users can still remove their funds from the contract.

IDEX est le seul à maitriser le processus de withdraw. Si le site ne répond plus, ou n'existe plus... Il sera compliqué de retirer vos fonds. Il existe cependant une procédure pour éviter un lock sur le long terme.

Switcheo

Halt withdraw, if the web site is down, you cannot withdraw using the website, however there is a process to manually withdraw your funds from the smart contact at any time, without switcheo.

Switcheo ne peut donc pas vous empêcher de retirer vos fonds. Par contre, même en l'absence de la dApp vous allez pouvoir effectuer une procédure manuelle directement sur le smartcontract et récupérer vos devises !


On utilise quand même un DEX ?

Oui ! Car vos fonds vous appartiennent. Une fois le trade effectué, tout retourne directement dans votre wallet. Mais dans la réalité il faut bien faire attention à la plateforme que vous allez choisir.

Bof ! Car en fonction de votre niveau de compréhension de la sécurité informatique et de la Blockchain, il peut être tout de même plus sécurisé d'utiliser un CEX (mais pas n'importe lequel!).

L'intérêt d'un DEX et d'avoir une solution ouverte, auditable et transparente. Cela requiert encore aujourd'hui un certain niveau de connaissance informatique pour que cela soit réellement plus sécurisé. Le sentiment de sécurité n'est pas toujours en adéquation avec la sécurité réelle ! Recherchez les résultats d'audits des solutions que vous utilisez.

Avec un DEX vous êtes vulnérables aux attaques ciblées. Avec un CEX vous êtes vulnérables aux attaques de masse.

Vous avez un hardware wallet (Ledger ou Trezor) ? Utilisez un DEX comme Kyberswap, qui va vous permettre d'effectuer des transactions de wallet à wallet, vous limitez le risque au maximum. Quand vous utilisez un DEX ou un CEX qui détient vos cryptos, laissez y le minimum. Et suivez ces recommandations pour bien proteger votre Ledger !

Vous avez un wallet crypto mais c'est un fichier WIF, Keystore, Privatekey qui est dans votre Dropbox ? Configurer plutôt la sécurité de votre compte Binance avec 2FA et whitelist de wallets. Ensuite apprenez à utiliser un hardware wallet ;)


Les pirates fonctionnent avec l'appât du gain. Il sera toujours plus intéressant pour eux de passer 6 mois à étudier la sécurité de Binance pour réussir à faire un gros coup. Que de perdre du temps à pirater un petit DEX sans volume.