Problèmes de sécurité DeFi : risques cachés et importance de la Décentralisation

Depuis février 2020, le secteur de la Finance décentralisée a subi des pertes de plusieurs centaines de millions de dollars. Bien que les experts aient à plusieurs reprises averti des risques potentiels du système écosystémique DeFi, les développeurs semblent toujours ne pas accorder une attention suffisante à ce problème dans un environnement où le marché reste en pleine effervescence et où la taille des fonds bloqués continue d'augmenter. Cependant, les dangers cachés sous la surface de cette euphorie demeurent.

L'attaque par prêt flash sur le protocole YFI

Début 2021, l'ancien roi de la Finance décentralisée, Yearn Finance, est devenu la première victime d'une attaque par prêt flash de l'année. Selon l'analyse d'une société de sécurité, l'attaquant s'est concentré sur le pool de stratégies DAI de Yearn Finance. Le processus de l'attaque est complexe et implique plusieurs étapes :

1. Emprunter une grande quantité d'ETH sur plusieurs plateformes
2. Utiliser l'ETH emprunté pour obtenir des DAI et des USDC sur une plateforme de prêt.
3. Injecter la majorité des fonds dans un pool de trading de stablecoins, contrôler la majorité de la liquidité.
4. En extrayant une partie des USDT, cela déséquilibre le ratio du pool.
5. Utiliser le ratio déséquilibré pour déposer des DAI dans le pool de stratégie Yearn DAI
6. Déclenchement du retrait après la restauration de l'équilibre du pool, entraînant une perte dans le pool de stratégie.
7. Répétez les étapes ci-dessus plusieurs fois pour réaliser un profit.

Cette attaque a entraîné des pertes allant jusqu'à dix millions de dollars pour Yearn Finance.

Racine du problème : Mécanisme de prix fragile

Le problème central exposé par cet événement ne réside pas dans le prêt éclair en soi, mais dans le mécanisme de prix fragile présent dans les protocoles de Finance décentralisée. La combinaison de certains protocoles utilise les parts de LP pour déterminer le prix, et ce mécanisme est facilement manipulable.

On peut comparer chaque protocole DeFi à un pays différent, chaque "pays" ayant ses propres règles. Des "commerçants" avisés cherchent des opportunités d'arbitrage en étudiant les différences entre ces règles. Ce comportement est essentiellement difficile à critiquer, car il exploite simplement les failles des mécanismes établis.

Finance décentralisée : l'importance de la sécurité

Actuellement, de nombreux développeurs de protocoles DeFi se concentrent trop sur la vitesse et l'efficacité, négligeant la valeur fondamentale de la blockchain. Contrairement à Bitcoin qui assure la sécurité par des mécanismes de consensus complexes, certains projets DeFi adoptent des méthodes de détermination des prix trop simplifiées, comme la dépendance à quelques "nœuds de confiance" ou le calcul simple des parts LP.

Cette pratique est contraire à l'essence décentralisée et axée sur le consensus de la blockchain. Un mécanisme de prix véritablement sécurisé devrait être sans autorisation, vérifiable par n'importe qui, et devenir plus robuste à mesure que le nombre de participants augmente.

Respecter le principe de Décentralisation

Certains projets tentent d'établir un mécanisme de synchronisation des prix d'espace sans arbitrage, basé sur une vérification sans autorisation. Ce mécanisme génère des données de prix sur la chaîne grâce à des jeux à plusieurs parties, dont la qualité s'améliore à mesure que l'échelle de participation augmente.

Le prix on-chain généré par ce mécanisme de jeu non coopératif et multidimensionnel est la pierre angulaire de sécurité que l'industrie de la Finance décentralisée devrait poursuivre. S'en tenir à l'essence de la décentralisation de la blockchain n'est pas seulement un choix technique, mais aussi un principe fondamental pour le développement de l'ensemble de l'industrie.