L’attaque de prêt flash ValueDeFi révèle un manque critique de diligence raisonnable dans DeFi

DeFi Digest d’OKEx Insights est un examen hebdomadaire du secteur financier décentralisé.

Aperçu du marché DeFi

Le marché de la finance décentralisée a maintenu son élan haussier cette semaine, la valeur totale bloquée dans les produits DeFi ayant légèrement augmenté, passant de 13,65 milliards de dollars à 13,80 milliards de dollars.. 

Le marché des prêts décentralisés a augmenté de 8% cette semaine, le volume total des emprunts ayant atteint 3,09 milliards de dollars. Bénéficiant de la croissance, Maker a remplacé Uniswap en tant que leader global DeFi, avec un niveau de domination du marché de 17%. Compound, quant à lui, a maintenu sa position dominante sur le marché du crédit, avec une part de 55%.

Le volume hebdomadaire moyen des échanges des bourses décentralisées a augmenté de 20% et atteint 0,53 milliard de dollars cette semaine. Alors qu’Uniswap a maintenu sa domination de 37% sur le volume des transactions, sa position de détenteur du plus grand pool de liquidités a été remplacée par son principal concurrent, SushiSwap..

Le volume de négociation hebdomadaire des DEX a augmenté de 20%. La source: DeFi Pulse et DeBank

Les attaques de prêt Flash s’avèrent problématiques pour DeFi

Les attaques de prêt flash sont devenues un casse-tête pour la communauté DeFi car l’agrégateur de rendement ValueDeFi est devenu la cinquième victime en seulement trois semaines. Suite à la perte de 34 millions de dollars de Harvest Finance, il y a eu des exploits de prêt flash d’Akropolis, d’Origin Protocol et de Cheese Bank, avec une perte de 2 millions de dollars, 7 millions de dollars et 3,3 millions de dollars, respectivement.

ValueDeFi a souffert d’un exploit de prêt flash de 6 millions de dollars le 14 novembre. Selon Emiliano Bonassi, un hacker au chapeau blanc autoproclamé, l’exploit de prêt flash sur le protocole ValueDeFi était plus complexe que les attaques précédentes, car deux prêts flash ont été utilisés. Les pirates ont sorti un prêt flash de 80000 ETH – d’une valeur de plus de 36 millions de dollars – et un prêt flash de 116 millions de dollars en DAI d’Uniswap pour exploiter le protocole ValueDeFi, entraînant une perte nette de 6 millions de dollars. 

Les étapes détaillées de l’attaque ont été illustrées sur le compte Twitter de Bonassi:

Les pirates ont utilisé deux prêts flash sur Aave et Uniswap pour exploiter le protocole ValueDeFi. La source: Twitter / @emilianobonassi

Selon un Analyse menée par le cabinet d’audit PeckShield, la cause première de l’exploit du protocole ValueDeFi était un bogue dans son "MultiStablesVaults," qui utilise Curve pour mesurer le prix de l’actif. En raison du bogue, les pirates ont pu utiliser des prêts flash pour manipuler le prix des jetons 3crv. Après cela, ils pourraient brûler les jetons frappés du pool pour échanger une part disproportionnée de 33,08 millions de jetons 3crv, au lieu des 24,95 millions normaux. Les pirates ont ensuite échangé les jetons 3crv contre DAI, ce qui a entraîné une perte de 7,4 millions de dollars en DAI. (Les pirates ont cependant rendu 2 millions de dollars aux principaux développeurs de ValueDeFi.)

Actions correctives de ValueDeFi

L’équipe ValueDeFi a publié un analyse post-mortem qui décrit des remèdes immédiats et des plans à moyen terme pour empêcher de telles attaques de prêt flash.


Dans un premier temps, les dépôts dans le coffre MultiStables ont été interrompus. Pour calculer le montant exact de la compensation, l’équipe a pris des instantanés de l’équilibre de chaque utilisateur avant l’attaque. L’équipe prévoit également de publier une deuxième version du coffre-fort MultiStables. Avant la sortie, le deuxième coffre-fort sera audité par des auditeurs publics et des développeurs publics de Solidity.

Par rapport à la première version du coffre-fort, la deuxième version utilise les flux de prix Chainlink pour améliorer la qualité des données, assurer la sécurité d’Oracle et fournir des prix d’actifs précis. L’utilisation d’oracles de prix réduit l’exposition aux distorsions de prix temporaires induites par les prêts flash lorsque le protocole ValueDeFi extrait des données des pools de liquidité en chaîne de Curve ou d’autres flux de prix générés en chaîne. De plus, comme les flux de prix Chainlink ne sont pas mis à jour simultanément sur plusieurs transactions, les prêts flash n’ont pas la capacité de manipuler le prix – car ils n’existent que dans une seule transaction..

L’équipe créera un fonds d’indemnisation basé sur des fonds promoteurs, un fonds d’assurance et une partie des frais perçus par le protocole. Pour compenser les utilisateurs pour le manque d’accès à leur capital, l’équipe a créé des jetons IOU pour représenter les fonds qui n’ont pas été retournés aux utilisateurs. Les jetons IOU ont une inflation intégrée qui augmentera automatiquement le rendement annuel de 10% chaque semaine.

L’équipe a également continué à chercher une solution avec les pirates. Par exemple, il proposé une distribution de 1 million de DAI en guise de prime et a demandé aux pirates de restituer les fonds restants aux utilisateurs concernés. Les pirates n’ont pas encore répondu à cette demande.

Des leçons douloureuses

Les récents exploits de prêt flash sur les protocoles DeFi ont une fois de plus mis en évidence un manque de compréhension de la mécanique DeFi chez certains acteurs du marché. Dans l’exploit du protocole ValueDeFi, un auto-décrit infirmière et un jeune de 19 ans autoproclamé étudiant a perdu 100 000 $ et 200 000 $, respectivement. Alors que les pirates ont renvoyé respectivement 50000 DAI et 45000 DAI à l’infirmière et à l’étudiant, ils ont averti les utilisateurs des risques associés à leur manque de connaissances et de prudence..

Les pirates informatiques du protocole ValueDeFi exploitent les utilisateurs avertis des risques liés à l’investissement dans des protocoles d’agriculture de rendement. La source: Etherscan

Les exemples susmentionnés illustrent comment certains participants à DeFi ne considèrent que les rendements actuels des protocoles d’agriculture de rendement sans reconnaître les risques inhérents aux contrats intelligents. Même l’équipe ValueDeFi a réitéré qu’il y a toujours un élément de risque impliqué lors de l’investissement dans les protocoles DeFi.

Le déploiement de nouveaux protocoles DeFi devenant de plus en plus complexe, les risques d’investir dans ces protocoles ne feront qu’augmenter.

OKEx Insights présente des analyses de marché, des fonctionnalités approfondies, des recherches originales & actualités organisées par des professionnels de la cryptographie.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map