DeFi a été confronté à son propre événement de contagion la semaine dernière après qu’Euler Finance a été vidé de près de 200 millions de dollars par le biais de six prêts flash et d’une vulnérabilité.
C’est un coup dur pour le secteur ; Euler avait été considéré comme la prochaine grande pierre à l’édifice après Compound et Aave.
Au-delà de l’introduction d’actifs à longue traîne dans le protocole et de la prise de risque à la Cream Finance, le populaire prêteur cryptographique a créé des pools de prêts isolés pour aider à limiter les dommages collatéraux au cas où degens emprunterait contre le mauvais memecoin.
Aujourd’hui, cependant, le navire est entièrement coulé.
Ce n’est pas tout : outre Euler, une dizaine d’autres protocoles DeFi ont été affectés par les diverses intégrations établies en cours de route. Yield Protocol, Swivel Finance, Angle et plusieurs autres ont tous annoncé leur niveau d’exposition à leurs communautés.
Ironiquement, cette capacité à découper et à connecter différents pools de liquidités et plateformes de prêt à travers l’écosystème était l’un des principaux piliers de DeFi.
Les développeurs l’appelaient la « composabilité ». Les légos de l’argent, crient les gourous des mèmes.
« Les protocoles composables sont l’épine dorsale de DeFi et de la technologie blockchain en général, et ils constituent un super pouvoir pour les constructeurs et les utilisateurs », a déclaré Gustavo Gonzalez, développeur de solutions chez OpenZeppelin, à TCN. « Mais comme tout super pouvoir, ils présentent également des risques qui doivent être pris en compte lors de la conception et du développement d’un système de contrat intelligent. »
Les événements de mardi ont révélé précisément comment ces risques peuvent faire boule de neige jusqu’au pandémonium.
« L’exploitation d’Euler Finance et l’impact inhérent sur plus de dix protocoles DeFi qui s’appuyaient sur Euler Finance nous montrent l’autre côté de la composabilité », a déclaré Hendo Verbeek, responsable des risques du protocole de rendement Spool, à TCN. « La contagion par extension, ce qui est d’autant plus grave qu’une bonne partie des utilisateurs de DeFi ont une compréhension limitée de la manière dont les protocoles s’utilisent les uns les autres. «
En effet, de nombreux degens se sont sentis pris de court par le piratage. Après tout, Euler avait fait l’objet de six audits différents de la part de quelques-unes des plus grandes sociétés d’audit de logiciels du secteur.
Que s’est-il donc passé ?
Il est apparu dans un premier temps que plusieurs modifications apportées aux contrats intelligents sous-jacents n’avaient pas fait l’objet d’un audit, ce qui laissait supposer que ces modifications précises étaient à l’origine de la vulnérabilité du protocole. Dans son post-mortem, cependant, Euler a expliqué que « bien que le code vulnérable ait été examiné et approuvé lors d’un audit externe, la vulnérabilité n’a pas été découverte dans le cadre de l’audit. «
Euler Labs travaille avec différents groupes de sécurité pour effectuer des audits du protocole Euler Finance.
Bien que le code vulnérable ait été examiné et approuvé lors d’un audit externe, la vulnérabilité n’a pas été découverte dans le cadre de l’audit.
La vulnérabilité est restée sur la chaîne pendant huit… https://t.co/cEaGIPI7Vk
– Euler Labs (@eulerfinance) Le 14 mars 2023
La personne derrière Officer’s Notes, un compte Twitter anonyme qui suit les piratages et l’opsec dans le monde de la cryptographie, a déclaré à TCN que l’industrie attendait toujours un processus de sécurité standard.
Pendant que l’industrie attend cette norme, les projets devraient combiner activement les audits et se lancer dans la chasse aux bogues, « ce qui finira par être moins cher pour une entreprise/un protocole/un projet qui a besoin de faire vérifier ses contrats intelligents », ont-ils déclaré.
La perte d’Euler doit être l’une des plus importantes que DeFi ait connue depuis un certain temps. Cependant, le récit de l’argent lego n’est pas encore terminé, a déclaré Gonzalez d’OpenZeppelin.
« Ce n’est qu’un nouveau rappel de la difficulté de la sécurité et de l’importance de la surveillance », a-t-il déclaré.
La fraude est loin d’être terminée, il suffit de savoir où chercher…
Comment s’en est sorti DeFi pendant le chaos bancaire ?
Alors que Circle était sous le choc avec 3,3 milliards de dollars enfermés dans une banque qui coulait lentement, son stablecoin a chuté jusqu’à 0,87 $.
De nombreux degens ont parié sur ce pico-fond, empruntant des USDT contre des ETH pour s’emparer du jeton à prix réduit, et ont depuis réapparu victorieux.
D’autres ont réduit leurs pertes et ont fui vers des pâturages plus décentralisés.
La capitalisation boursière du DAI de Maker a été l’un des grands gagnants de tout cela. Bien que son support soit principalement constitué d’USDC et qu’il ait lui aussi perdu sa place, la capitalisation boursière du plus grand stablecoin décentralisé a grimpé en flèche et n’a pas bougé d’un iota.
Il en va de même pour le LUSD de Liquity et le moins connu RAI. Chacun de ces stablecoins a offert des alternatives décentralisées relativement sûres lorsque le SVB a frappé le ventilateur.
Et tandis qu’ils se précipitaient vers la sortie, les plateformes qui proposaient les meilleures offres sur les stablecoins cassés ont atteint de nouveaux records de volume (et ont permis à leurs fournisseurs de liquidités de gagner un joli penny dans le processus).
Dans le feu de l’action, Curve Finance a enregistré des volumes de 6,03 milliards de dollars.
Au cours de la semaine du 11 mars, Uniswap a réalisé près du double sur ses pools WETH-USDC, USDT-USDC et DAI-USDC.
En fin de compte, ce n’est certainement pas une victoire pour DeFi. Mais il est toujours là, et il est clair que les traders en ont toujours besoin.
Pour l’instant, cela suffit peut-être.
