Dans l’univers des crypto monnaies, l’année 2020 est sans conteste celle de la finance décentralisée, ou DeFi. Mais avec la montée en puissance de ce secteur, ses risques sont exposés en plein jour. À la longue liste des hacks dont ont été victimes ces plates-formes, on peut désormais ajouter Balancer. La plate-forme décentralisée fournisseuse de liquidités s’est fait délester pour un demi-million de dollars de jetons.
Table des matières
2 pools Balancer affectés
Balancer a confirmé l’information en affirmant que 2 pools ont été affectés. Les hackers ont procédé de la façon suivante :
- Crédit flash en Ether obtenu auprès de la plate-forme dYdX
- Conversion de cet Ether en WETH (wrapped ETH)
- Achat de jetons STA jusqu’à ce que le pool Balancer soit presque vide
- Achat d’autres jetons avec ces STA dont la valeur par rapport à ces tokens a bondi, qui permet de les acquérir pour une bouchée de pain
Les hackers ont répété le modus operandi afin de vider le pool de ses jetons WBTC, SNX et LINK.
Tout cela a été savamment orchestré via un contrat intelligent vu que tout a dû se passer très rapidement.
Les erreurs de jeunesse du secteur DeFi
Depuis quelques mois, on assiste à une véritable ruée sur les plates-formes DeFi, qui proposent des rendements qui semblent trop beaux pour être vrais. Ce genre de mésaventures n’est pourtant pas un cas isolé. Rien qu’en avril, Consensys a relevé 5 incidents de sécurité du côté des plates-formes de finance décentralisée :
- Uniswap : 340.000 $ volés le 18 avril
- lendf.me : 25 millions de dollars volés le 19 avril. Heureusement pour la plate-forme, les hackers ont restitué les fonds (probablement parce qu’ils ont oublié de masquer une adresse IP durant l’opération)
- Curve : découverte d’un bug dans le contrat sUSD
- PegNet fut victime d’une attaque 51 % lorsque 4 mineurs de son réseau contrôlèrent 70 % du hashrate
- Hegic : 28.000 dollars de liquidités gelées dans un contrat de type option expiré à cause d’un bug. L’équipe a promis de rembourser les utilisateurs concernés avec ses propres fonds
Ces incidents ont notamment mis en lumière les problèmes de compatibilité entre les jetons ERC-777 et les plates-formes de finance décentralisée. Durant les mois précédents, d’autres incidents notables ont eu lieu. À savoir des hacks du côté de bZx et de Maker.
Hex Capital avait identifié la vulnérabilité, mais fut ignoré
Il est courant d’organiser des Bugs Bounty dans le but d’obtenir un audit solide de la sécurité d’une solution. Balancer l’a fait. Mais lorsque Hex Capital a rapporté la vulnérabilité dans le cadre de ce programme, Balancer Labs n’a pas reconnu le problème. Outre le fait que Hex Capital n’a pas été rétribué pour avoir identifié le bug, Balancer n’a rien fait pour le corriger.
Du côté de Balancer, on se défend partiellement en affirmant que la plate-forme avait averti des dangers de l’utilisation de tokens ERC777 ou de jetons déflationnistes (avec frais de transfert). Cela dit, le CTO, Mike McDonald, a tout de même admis qu’il aurait dû passer plus de temps à se pencher sur le problème et sur ses conséquences potentielles.
DeFi : un secteur attractif, mais risqué
Les rendements offerts par les plates-formes décentralisées sont attractifs. Cependant, les nombreux incidents cités ci-dessus doivent inciter à la prudence. En effet, la finance décentralisée n’en est qu’à ses balbutiements. La moindre erreur se paye cash.
De plus, il s’agit de produits financiers complexes qui peuvent réserver de mauvaises surprises, pourtant prévisibles. Pour illustrer ce fait, je vais prendre un exemple plutôt simple, le crédit crypto. Sur une plate-forme comme Nexo, vous pouvez emprunter de l’argent en déposant en guise de garantie une crypto majeure comme Bitcoin. La plate-forme vous prête cet argent sans poser de questions car il est couvert par la garantie en crypto monnaies déposée.
Comprendre dans quoi on s’aventure
Cependant, cette garantie doit respecter un certain ratio (loan to value), qui varie de 2 à 6. Par exemple, si vous souhaitez emprunter 1.000 €, vous devez déposer pour un peu plus de 2.000 € en BTC ou 6.000 € en Stellar Lumens. Ce ratio est constamment mis à jour avec les fluctuations de la crypto déposée en garantie. Si le prix de BTC s’effondre de 20 % et que vous respectiez le ratio minimum, vous devez soit déposer davantage de Satoshis en garantie, soit rembourser une partie du crédit pour respecter le ratio loan to value.
Certains utilisateurs ne le savent pas, alors qu’il s’agit d’une condition élémentaire de ces crédits crypto. Durant le crash de mars, des emprunteurs ont vu leurs jetons déposés en garantie être liquidés automatiquement. Et certains ont crié à l’arnaque, notamment du côté de Nexo. Que ce soit dans les cryptos ou tout autre domaine, quand on ne comprend pas quelque chose, il vaut mieux s’abstenir.
Incertitudes juridiques
De plus, de lourdes incertitudes juridiques planent sur la finance décentralisée. Par exemple, une plate-forme comme Synthetix offre des options binaires. Ce produit est pourtant lourdement encadré, notamment aux États-Unis et dans l’Union européenne. Certains clament que la loi ne s’applique pas aux applications Ethereum, car le réseau « constitue une nation en soi ». Personnellement, je pense que ces maximalistes vont apprendre à la dure qu’il ne s’agit que d’un vœu pieux. D’autant qu’il y a des précédents, comme le fondateur d’EtherDelta qui a dû payer une amende à la SEC.
Les plus sages attendront probablement que ces plates-formes fassent leurs preuves avant de se lancer. Les téméraires qui ont un goût prononcé pour le risque endosseront le rôle de pionniers… Avec une belle récompense à la clé, ou un désastre.
