Un week-end à oublier

Un total stupéfiant de 70 millions de dollars a été illégalement détourné de plusieurs plateformes au cours du week-end. Curve Finance, une bourse décentralisée influente et réputée, a été l'une des premières victimes de ces cyberattaques. D’ailleurs, le cours du jeton de la bourse, le CRV, s’est écroulé en quelques heures après les attaques. 

CRV/USD
Zonebourse

Parmi les autres victimes de ce complot insidieux figurent le protocole de prêt Alchemix, la plateforme de rendement Pendle, l'outil d'actifs synthétiques Metronome, qui sont tous des acteurs importants de l'écosystème DeFi.

Effrayés à l'idée de perdre leur butin, les prêteurs DeFi ont retiré leurs fonds d'autres plateformes, comme des enfants pris la main dans le sac. Cet effet de cascade a ensuite déclenché un pic des coûts d'emprunt dans ce sous-secteur financier de niche.

A titre d’exemple, la pool de liquidité d’USDC de Aave a été utilisé à près de 93 % , ce qui a fait grimper les taux de prêt à 22,4 %. L'USDT était également utilisé à 89,5 %, les emprunteurs payant ainsi des intérêts de près de 38 % L'augmentation des frais d'emprunt témoigne de la nervosité du marché durant ces passages obscurs de la DeFi.

Les conséquences de ces attaques auraient pu être bien plus graves sans l'intervention opportune des "white-hat hackers", des pirates informatiques éthiques qui utilisent leurs compétences pour aider plutôt que pour nuire. Ces cyber-chevaliers ont réussi à sécuriser les actifs de plusieurs pools de prêts sur Curve Finance, empêchant ainsi d'autres vols et donc des conséquences qui auraient pu être bien plus désastreuses.

Plus précisément, les experts spécialisés dans la valeur maximale extractible (VME), ou Maximal Extractable Value (MEV), ont été en mesure d'anticiper trois des cinq attaques malveillantes totales. Sans rentrer dans les détails, la MEV permet à des tiers et à des systèmes automatisés de localiser et de réorganiser les transactions en attente de validation pour en tirer profit. 

Il convient de noter qu'un crypto-héros, se présentant sous le pseudonyme Coffeebabe.eth, a joué un rôle crucial dans la neutralisation d'au moins deux de ces attaques malveillantes en exécutant des transactions de manière préemptive. Par ailleurs, Chainlink, un fournisseur de données sur la chaîne, ou on-chain, qualifié de système "oracle", a été félicité pour son rôle dans la prévention de dommages collatéraux plus étendus à la suite de l'attaque. Pour en savoir plus sur la proposition de valeur de Chainlink, retrouvez un article qui se consacre à son écosystème ici : Chainlink, connecter le monde à la blockchain

La cause sous-jacente de ces intrusions semble provenir de vulnérabilités dans Vyper, un langage de programmation spécifiquement conçu pour lancer des contrats intelligents sur Ethereum. L'équipe principale derrière ce langage de programmation, qui est approuvé par l'équipe Curve, a avoué que les anciennes versions de Vyper étaient susceptibles de subir des attaques par "réentrance". Bien qu'il faille beaucoup de temps pour comprendre toutes les implications de cet incident, les représentants de Vyper ont conseillé à tous les projets utilisant les versions 0.2.15, 0.2.16 et 0.3.0 de prendre contact avec eux.

Les cyberattaques ne sont pas prêtes de s'arrêter

En étant réaliste, il faut reconnaitre qu'il est de plus en plus fréquent que les attaquants retournent les fonds volés - ou du moins une grande partie - qui sont, par nature, toujours traçables sur la blockchain, ce qui peut rendre incroyablement difficile pour les gens de dépenser l'argent sale ou d'encaisser n'importe où sans que le monde entier ne le sache.

On pourrait penser que cela signifie que les attaques sont moins fréquentes dans la cryptosphère, mais ce n'est apparemment pas le cas. Aujourd'hui même, la société d'audit de sécurité CertiK a affirmé que les utilisateurs de cryptomonnaies ont perdu au moins 303 millions de dollars à cause de cyberattaques au cours du seul mois de juillet 2023. 

Un défi de taille pour la DeFi

En réalité, les plateformes d'échanges décentralisées (DEX) cherchent des alternatives pour rester sécurisées et proposer des prix attractifs. Plus précisément, de plus en plus de DEX cherchent à tirer parti des mécanismes hors chaîne, c'est-à-dire en dehors des blockchains donc dans la finance traditionnelle, pour exécuter les transactions, dans le but de réduire les frais de transaction pour ses utilisateurs. Cette évolution est logique dans un marché où la concurrence féroce pousse les fournisseurs de services à innover sans relâche et à réduire les coûts. Une grande partie des opérateurs sur les plateformes de DeFi est prête à sacrifier certaines des garanties offertes par les cryptomonnaies entièrement intégrées sur les blockchains, ou on-chain, en échange de prix plus favorables, de transactions plus rapides et d'une plus grande commodité.

Toutefois, ces attaques contre la DeFi soulève une question cruciale : est-il judicieux de risquer les avantages uniques qu'offre la blockchain - à savoir l'immutabilité et la transparence - dans le but d'effectuer des transactions en dehors des blockchains? Alors que certains affirment qu'il s'agit de l'avenir inévitable du commerce dans l'espace numérique, il convient certainement de se demander si l'industrie ne se précipite pas en s'éloignant d'un modèle qui possède encore ses propres atouts.

Si les contours exacts de l'avenir de la blockchain, et notamment de la finance décentralisée, restent un sujet de spéculation, certains experts prédisent qu'il pourrait s'orienter vers un modèle plus programmatique et automatisé, plutôt que vers le paysage actuel dominé par les teneurs de marché automatisés (AMM).

Toutefois, avant que cette vision ne se concrétise, il serait certainement prudent d'aborder et de rectifier les vulnérabilités et les lacunes existantes dans la DeFi. Ce dernier incident met en évidence la nécessité d'un système plus sûr et plus robuste avant que le secteur ne puisse évoluer davantage et gagner largement en popularité.