Un DEX peut-il vraiment protéger mes crypto-monnaies mieux que Binance ?
Suite au Hack de Binance on conseil d'utiliser un DEX afin de trader en toute sécurité. Est-ce bien le cas ?
Suite au Hack de Binance du 8 mai, on peut voir un peu partout conseiller d'utiliser un DEX afin de trader en toute sécurité. Est-ce bien le cas ?
Binance Security Breach Updatehttps://t.co/KY2J3jWpmn pic.twitter.com/JZtMsbI9fS
— Binance (@binance) May 7, 2019
Comme je l'ai expliqué, il existe de nombreux types d'échanges décentralisés. Certains imposent que vous deviez déposer vos cryptos sur un smartcontract (IDEX, Switcheo, Ethfinex...) et d'autres permettent le trading directement depuis votre wallet (Kyber, Uniswap...). Les risques ne sont pas les mêmes.
Quand on utilise un DEX avec dépôt de nos coins, on additionne les risques d'utiliser un wallet personnel aux risques d'utiliser un échange.
Quels sont les risques quand on utilise un exchange ?
L'escroc
L'avantage principal d'un DEX est que l'on limite l'action d'acteurs malhonnêtes. Si on part du principe que Binance à réellement fait le maximum pour sécuriser nos fonds, DEX ou CEX, cela ne changera pas fondamentalement l'issue. Du code informatique, des humains et une même dose d'honnêteté, produiront des résultats similaires en termes de sécurité.
Le piratage
Par définition un smartcontract est du code, du code est écrit par un humain et un humain peut faire des erreurs. Tout code informatique est faillible.
Update: To the best of our knowledge the funds are frozen & can't be moved anywhere. The total ETH circulating social media is speculative.
— Parity Technologies (@ParityTech) November 7, 2017
Dû à un bug dans un smartcontract, 500000 ETH sont bloqués, depuis novembre 2017, dans les wallets des utilisateurs de Parity. Un smartcontract peut être piraté ou bloqué par l'action d'un pirate, par une mauvaise manipulation de l'opérateur du DEX, ou les deux.
New eth contract bug could hack entire token supply leaving all token holders with worthless tokens. This is why code cannot be law and contracts need ability to be updated. #ethereum #eosio https://t.co/3wrCt786iG
— Daniel Larimer (@bytemaster7) April 25, 2018
Le phishing
Même avec un hardware wallet, le risque de phishing est toujours présent. Si vous donnez votre seed à un pirate, il lui sera même plus simple pour voler vos fonds que sur un échange centralisé comme Binance.
WARNING: we’ve detected a malware that locally replaces the Ledger Live desktop application by a malicious one. Users of infected computers are asked to enter their 24-word recovery phrase after a fake update. Please refer to our security best practices https://t.co/MlAUlgoqj9 pic.twitter.com/Qzr3o4xaOq
— Ledger (@Ledger) April 25, 2019
Le manque de transparence de l'order book
Ce n'est pas directement un risque de sécurité, mais un order book complètement ouvert évitera la manipulation des cours à votre insu.
Committed to pursuing our mission of bringing fairness & transparency in the cryptocurrency ecosystem, we just released a dashboard to monitor volume on #LGO : https://t.co/NXZPNE7BZ4
— LGO (@LGOGroup_) May 8, 2019
Volume can’t be faked. Let us know your thoughts!
LGO à par exemple développé un dashboard de monitoring qui permet prouver sa transparence et sa liquidité.
Les frais cachés
En règle général les DEX ne font pas payer de frais pour retirer vos fonds. Mais la pratique est assez courante de la part des échanges centralisés. En imposant des frais de withdraw élevés, cela vous dissuade de les rapatrier sur votre wallet personnel.
L'Exit Scam
La peur de tout investisseur / spéculateur est le fameux Exit Scam. Il est vrai que devoir faire confiance à un tiers quand l'intérêt de la Blockchain est justement de s'en défaire... En utilisant un DEX, on se prémunit, en général de ce type de risque. Mais il y a des petites spécificités à connaitre.
We apologize, IDEX is currently down for maintenance. All funds are safe, and no trades can execute. We apologize for the inconvenience and expect to be back up shortly.
— IDEX (@idexio) January 8, 2018
Because IDEX keys are the only ones authorized to submit withdrawal transactions, we’ve included an escape hatch that allows users to withdraw directly from the contract after a certain period of inactivity. This ensures that even if the IDEX servers are unavailable that users can still remove their funds from the contract.
IDEX est le seul à maitriser le processus de withdraw. Si le site ne répond plus, ou n'existe plus... Il sera compliqué de retirer vos fonds. Il existe cependant une procédure pour éviter un lock sur le long terme.
We will be having a scheduled maintenance today at 12pm SGT (UTC+8). The maintenance is scheduled to last for about 6 to 10 hours. Thank you for your kind understanding and patience. pic.twitter.com/kivJvl4KNI
— Switcheo (@SwitcheoNetwork) March 25, 2019
Halt withdraw, if the web site is down, you cannot withdraw using the website, however there is a process to manually withdraw your funds from the smart contact at any time, without switcheo.
Switcheo ne peut donc pas vous empêcher de retirer vos fonds. Par contre, même en l'absence de la dApp vous allez pouvoir effectuer une procédure manuelle directement sur le smartcontract et récupérer vos devises !
On utilise quand même un DEX ?
Oui ! Car vos fonds vous appartiennent. Une fois le trade effectué, tout retourne directement dans votre wallet. Mais dans la réalité il faut bien faire attention à la plateforme que vous allez choisir.
Bof ! Car en fonction de votre niveau de compréhension de la sécurité informatique et de la Blockchain, il peut être tout de même plus sécurisé d'utiliser un CEX (mais pas n'importe lequel!).
L'intérêt d'un DEX et d'avoir une solution ouverte, auditable et transparente. Cela requiert encore aujourd'hui un certain niveau de connaissance informatique pour que cela soit réellement plus sécurisé. Le sentiment de sécurité n'est pas toujours en adéquation avec la sécurité réelle ! Recherchez les résultats d'audits des solutions que vous utilisez.
Avec un DEX vous êtes vulnérables aux attaques ciblées. Avec un CEX vous êtes vulnérables aux attaques de masse.
Vous avez un hardware wallet (Ledger ou Trezor) ? Utilisez un DEX comme Kyberswap, qui va vous permettre d'effectuer des transactions de wallet à wallet, vous limitez le risque au maximum. Quand vous utilisez un DEX ou un CEX qui détient vos cryptos, laissez y le minimum. Et suivez ces recommandations pour bien proteger votre Ledger !
Vous avez un wallet crypto mais c'est un fichier WIF, Keystore, Privatekey qui est dans votre Dropbox ? Configurer plutôt la sécurité de votre compte Binance avec 2FA et whitelist de wallets. Ensuite apprenez à utiliser un hardware wallet ;)
Les pirates fonctionnent avec l'appât du gain. Il sera toujours plus intéressant pour eux de passer 6 mois à étudier la sécurité de Binance pour réussir à faire un gros coup. Que de perdre du temps à pirater un petit DEX sans volume.